Turla
Use as IBM Security QRadar Techniques for Turla Content Extension para monitorar de perto sua implantação em busca de malware Turla.
IBM Técnicas de segurança QRadar para extensão de conteúdo Turla
- TécnicasIBM Security QRadar para a extensão de conteúdo Turla 1.1.1
- TécnicasIBM Security QRadar para a extensão de conteúdo Turla 1.1.0
- IBM Técnicas de segurança QRadar para a extensão de conteúdo Turla 1.0.4
- IBM Segurança QRadar Técnicas para extensão de conteúdo Turla 1.0.3
- IBM Técnicas de segurança QRadar para extensão de conteúdo Turla 1.0.2
- IBM Técnicas de segurança QRadar para extensão de conteúdo Turla 1.0.1
- IBM Técnicas de segurança QRadar para extensão de conteúdo Turla 1.0.0
Técnicas IBM Security QRadar para a extensão de conteúdo Turla 1.1.1
Corrigido um problema de instalação.
Técnicas IBM Security QRadar para a extensão de conteúdo Turla 1.1.0
A tabela a seguir mostra as regras que foram atualizadas no IBM Security QRadar Techniques for Turla Content Extension 1.1.0
| ID | UUID | Nome | Status |
|---|---|---|---|
| 101789 | ca5af962-d8e5-43fb-b8ef-bf77cf35d144 | Modificação do registro de confiança do registro do Windows | Removido |
| 102489 | c72ed449-4151-4f4e-a076-d4f1064fbcfb | DLL GAC carregada por meio do aplicativo do Office | Removido |
| 102989 | 7e789e38-4b5b-4ca5-b4f4-282ce65a672e | Ocultação de arquivos com Attrib | Removido |
| 104189 | c673847d-b064-496b-9388-163a12d062a1 | Suspeita de shell de sistema elevado | Removido |
| 104389 | d6697cf6-da5b-498f-9d5d-c4d696aecf76 | Descoberta de processos suspeitos com Get-Process | Removido |
| 105289 | 0dd7a45e-c1b5-467f-a990-f37380924769 | Captura de entrada usando o bloqueio do mouse | Removido |
| 105539 | a3442bb0-9bf4-4c79-a62c-7b8f1062e3bf | Scripting suspeito em um consumidor WMI | Removido |
| 105689 | 5e68889d-181b-43c7-a48c-2bebb443fcd4 | Criação de arquivos executáveis suspeitos | Removido |
| 105889 | ab17bf9c-f51f-4457-8c5b-f591ad581af9 | Comando executado via SettingContent-ms | Removido |
| 106789 | d2084bdb-9aa2-4c3f-b53b-efc531070d01 | Proprietário do sistema ou descoberta do usuárioLinux) | Removido |
| 107139 | 4b17de68-6a95-44b3-a395-4fe3eb8c532a | Esteganografia com RAR | Removido |
| 107389 | 68a203e4-83ca-4455-9436-af4ed2bac6c6 | Conexões SMTP de saída suspeitas | Removido |
| 109439 | 7631b777-2ae0-4c4a-a17c-f948d1952f09 | Barramento de serviço do DNS HybridConnectionManager | Removido |
| 109639 | 3f22b3ad-4abf-47ce-bd96-c509478b96a0 | Criação de thread remota em alvos suspeitos | Removido |
| 110039 | ba7ba2d7-21da-4fd5-92ed-548f0656bc96 | PowerShell DownloadFile | Removido |
| 110139 | f80a6187-a4cd-48ce-84de-dbd800d7f5c2 | Criação de cópias de sombra usando utilitários de sistemas operacionais | Removido |
| 111189 | 60182f70-816d-4126-bd08-686b87adc18f | Uso de portas fora do padrão | Removido |
| 111389 | acec599f-cbb8-4a07-9c2f-7196e2c4db5b | Execução do binário sequestrado detectado | Removido |
| 111439 | bfce7e64-7ae2-4b6a-9880-9ab7f34a7a7e | Despejar credenciais do Gerenciador de Credenciais do Windows com o PowerShell | Removido |
| 111639 | 68f4a158-d191-4c18-b3ff-1eeb72893d35 | Modificação de permissões de arquivos e diretórios (Windows) | Removido |
| 111689 | 21511f9a-60cc-4cf4-83cc-80f353bdd87a | Comunicação com o EquationGroup C2 Tools | Removido |
| 112089 | 8e281e72-6e60-4aa2-90b2-a2f471f3afb0 | Possível carregamento lateral da DLL do sistema a partir de locais que não são do sistema | Removido |
| 112239 | 1fdab5bc-3dde-44b5-a7e0-c3464681c8aa | Número excessivo de nslookup do Powershell | Removido |
| 112439 | 5b5a233f-e523-4351-9754-6f7766da9c2a | Palavras-chave suspeitas PowerShell | Removido |
| 112589 | f51a88e7-6df9-4766-ad1d-63a5bc5a04f4 | Subprocesso suspeito do RazerInstaller | Removido |
| 112989 | 45d2bc80-18ab-4c76-87ea-f2f76af7269f | Execução suspeita de WMIC | Removido |
| 113139 | e9b66c89-0ab6-4b10-a29e-c292c7125221 | Carga de imagem do núcleo do Python detectada | Removido |
| 113339 | d6230b09-465d-48ce-9da9-6a961b750923 | Atividade de serviço remoto por meio do pipe nomeado SVCCTL | Removido |
| 113539 | 5e32ab21-e0f1-46c5-b852-179d947cb7b7 | Injeção de processo via Maldoc | Removido |
| 113939 | 5283d971-2d12-4ad1-846a-dd390805795a | Criação de usuários abusando da vulnerabilidade da Fortinet | Removido |
| 114689 | f1a88d5f-0ff3-4657-9158-b980a2eb619e | Comando de cópia suspeito do compartilhamento do administrador | Removido |
| 114989 | 8faa6e7d-06b3-4cc8-916f-dadc44e7c3d1 | Download de carga útil usando o recurso Edge Headless | Removido |
| 115639 | bf96a45a-caa8-492a-a767-e18eaf67fdd0 | Tarefa programada suspeita | Removido |
| 115989 | 58f5d85e-348d-4b30-8d1b-5a53e01c6c83 | Sequestro de COM com locais suspeitos | Removido |
| 116939 | c7080f3e-ee57-41ea-81ea-5b3c8bafd511 | Execução suspeita de conversão de arquivos GRP | Removido |
| 117539 | 3e84e969-1b26-43bd-a5c3-d71ba1522404 | Instalação do serviço Hybrid Connection Manager | Removido |
| 117789 | 35b8c9c3-f245-4963-8295-aa38e1cc69bf | Scripts maliciosos PowerShell | Removido |
| 117889 | 4f5311e5-415b-4f34-96fb-de5b449ef6fc | Carregamento de imagem Python Py2Exe | Removido |
| 118639 | 8973a03b-53af-4f7a-91f6-dff57cca9eae | Driver VirtualBox instalado ou iniciado | Removido |
| 119239 | 0693f1d6-8395-4da2-98f5-9143ae33d40c | Criação suspeita de Get-Variable | Removido |
| 119589 | 95a723c3-9fb5-432f-a7d8-5c64f04ee88c | Execução do Dnscat | Removido |
| 119789 | d882d5f3-5271-4663-8f4d-63cc404cc7ec | Exploração do EQNEDT32 | Removido |
| 119889 | 4d12762c-4c6e-4bf4-bf07-bde7cbf982cf | Criação de arquivos por processos não privilegiados no diretório Program Files | Removido |
| 120589 | 12485c79-d173-4982-98d1-b5b92c02f51f | Driver vulnerável carregado | Removido |
| 120689 | 23c071b7-bbf4-4c26-909d-2772d5158116 | Detectada atividade potencial de exploração do Exchange | Removido |
| 121889 | d7aa4426-0a14-4091-9c93-7e602c115f3c | Desativou CrashDump via Registro | Removido |
| 122039 | 621d2016-ca3b-491c-a89e-80602160b83a | Configurações de segurança do Outlook alteradas no registro | Removido |
| 122339 | 57b53d3a-e472-4a11-b5a7-93f67e698c74 | Gravações suspeitas do processo NTDS | Removido |
| 122389 | eefba06b-2805-4c9e-9149-ba6008a4ab35 | Acesso a ADMIN$ Share | Removido |
| 122439 | f453815d-c8cd-4123-85dc-73816faaf2ed | Dados divididos em partes (Mac) | Removido |
| 122639 | 9c5e3487-7153-4947-a4ee-b601df12d474 | Combinação de download e execução de curvas | Removido |
| 123239 | 0c7aa57b-4d8b-4039-be77-da4c9d238486 | Detectada atividade de linha de comando do Ryuk Ransomware | Removido |
| 127639 | 45fbda19-077b-4ef7-9557-6b1e82e4d69d | Arquivo executável criado por outro executável | Removido |
| 127689 | f275a4c8-2a9a-43e6-8bb4-9d66944bc90a | Get-ADUser Descoberta e exportação de usuários | Removido |
IBM Segurança QRadar Técnicas para a extensão de conteúdo Turla 1.0.4
A tabela a seguir mostra as regras que foram atualizadas em IBM Security QRadar Techniques for Turla Content Extension 1.0.4.
| Nome | Otimizada | Descrição |
|---|---|---|
| Comprimento da chave | Sim | Esse tipo de propriedade é alterado de alfanumérico para numérico. |
IBM Segurança QRadar Técnicas para extensão de conteúdo Turla 1.0.3
A tabela a seguir mostra as regras que foram atualizadas em IBM Segurança QRadar Técnicas para extensão de conteúdo Turla 1.0.3.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Passe a atividade Hash | Detecta a técnica de ataque passando o hash que é utilizado para se movimentar lateralmente dentro da rede. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Passe a atividade hash em logons de rede | Detecta a técnica de ataque passando o hash que é utilizado para se movimentar lateralmente dentro da rede. Usado sob a Licença de Regra de Detecção 1.1. |
IBM Técnicas de segurança QRadar para extensão de conteúdo Turla 1.0.2
A tabela a seguir mostra as regras atualizadas no IBM Security QRadar Techniques for Turla Content Extension 1.0.2.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Execução de Ferramentas de Exfiltração DNS | Detecta a execução da ferramenta de exfiltração de DNS Baseado na regra Sigma de Execução de Ferramentas de Exfiltração e Tunelamento de DNS por Daniil Jugoslavskiy e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Restrições Remotas UAC Desativadas | Detecta a modificação de registro que permite ações administrativas remotas Com base na regra Desativar Restrição Remota do UAC Sigma por Steven Dick, Teoderick Contreras e Splunk. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Subprocesso Suspeito do RazerInstaller | Detecta subprocesso suspeito do RazerInstaller.exe. Com base na regra de Sigma Suspeito RazerInstaller Subprocesso do Explorer por Florian Roth e Maxime Thiebaut Usado sob a Licença de Regra de Detecção 1.1. |
IBM Security QRadar Técnicas para Turla Content Extension 1.0.1
A tabela a seguir mostra as propriedades customizadas atualizadas no IBM Security QRadar Techniques for Turla Content Extension 1.0.1.
| Nome | Otimizada | Descrição |
|---|---|---|
| Definição da Propriedade do Comando | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Propriedade de Comando a partir de cargas úteis do DSM |
| Definição da Propriedade do Caminho do Processo Pai.. | Sim | Essa propriedade é um item temporário para a extração customizada padrão do Caminho do processo pai a partir de cargas úteis do DSM |
A tabela a seguir mostra as regras e blocos de construção que são atualizados no IBM Security QRadar Techniques for Turla Content Extension 1.0.1.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Comunicação com EquationGroup C2 Ferramentas | Detecta comunicações para servidores C2 . Baseado na regra Sigma de Comunicação do Grupo de Equações C2 por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Comando executado via SettingContent-ms | Detecta comando que é executado através SettingContent-ms. Baseado na regra arbitrária de execução de comando Shell por meio da regra Settingcontent-Ms Sigma de Sreeman. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Execução de Ferramentas de Exfiltração DNS | Detecta a execução da ferramenta de exfiltração de DNS Baseado na regra Sigma de Execução de Ferramentas de Exfiltração e Tunelamento de DNS por Daniil Jugoslavskiy e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Restrições Remotas UAC Desativadas | Detecta a modificação de registro que permite ações administrativas remotas Com base na regra Desativar Restrição Remota do UAC Sigma por Steven Dick, Teoderick Contreras e Splunk. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação de cópias de sombra usando utilitários de sistemas operacionais | Detecta possíveis cenários de acesso de credenciais em que cópias de sombra são criadas usando utilitários de sistemas operacionais. Com base na criação de cópias de sombra usando a regra Sigma de utilitários de sistemas operacionais por Teymur Kheirkhabarov, Daniil Jugoslavskiy e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Shells gerados por servidores da web | Detecta servidores da web que geram processos shell que podem ser o resultado de um shell da web colocado com sucesso ou outro ataque. Baseado na regra Shells Spawn by Web Servers Sigma por Thomas Patzke, Florian Roth (Nextron Systems), Zach Stanford @svch0st, Tim Shelton e Nasreddine Bencherchali (Nextron Systems). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Active Directory Enumeração de Grupo / Computador | Acionadores quando um grupo ou um computador é contado no Active Directory. Com base no Active Directory Enumeração de grupo com Get-AdGroup e Active Directory Enumeração de computadores com Get-AdComputer Regras Sigma por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Obter-Descoberta e Exportação do Usuário do ADUser | Aciona quando o uso do cmdlet Get-ADUser para coletar informações do usuário e produzi-las em um arquivo.. Com base na Descoberta do Usuário e Exportação Via Get-ADUser Cmdlet- PowerShell Sigma regra por Nasreddine Bencherchali (Nextron Systems). Usado sob a Licença de Regra de Detecção 1.1. |
IBM Técnicas de segurança QRadar para extensão de conteúdo Turla 1.0.0
A tabela a seguir mostra as propriedades customizadas que estão no IBM Security QRadar Técnicas para o Turla Content Extension 1.0.0
| Nome | Otimizada | Descrição |
|---|---|---|
| máscara de acesso | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Máscara de Acesso a partir de cargas úteis do DSM |
| Acessos | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Acessos de cargas úteis do DSM. |
| Número da conta | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Nome da conta de cargas úteis do DSM. |
| ID de Segurança da Conta | Não | Essa propriedade é um item temporário para extração customizada padrão de ID de segurança da conta a partir de cargas úteis do DSM. |
| ID de auditoria | Sim | Essa propriedade é um item temporário para a extração customizada padrão de ID de auditoria a partir de cargas úteis do DSM. |
| Pacote de Autenticação | Sim | Essa propriedade é um item temporário para a extração customizada padrão do Pacote de autenticação a partir de cargas úteis do DSM |
| Rastreio de chamada | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Rastreio de Chamada a partir de cargas úteis do DSM |
| Tipo de chamada | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Tipo de Chamada a partir de cargas úteis do DSM. |
| Comando | Sim | Essa propriedade é um item temporário para a extração customizada padrão do Comando a partir de cargas úteis do DSM |
| Argumentos de comando | Sim | Essa propriedade é um item temporário para extração customizada padrão de Argumentos de Comando de cargas úteis do DSM. |
| Destino do Consumidor | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Destino do Consumidor a partir de cargas úteis do DSM. |
| Descrição | Não | Essa propriedade é um item temporário para a extração customizada padrão de Descrição de cargas úteis do DSM. |
| Nome do host de destino | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Nome do Host de Destino a partir de cargas úteis do DSM |
| Código do erro | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Código de Erro de cargas úteis do DSM. |
| Código de Erro Estendido | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Código de Erro Estendido a partir de cargas úteis do DSM. |
| Diretório de Arquivos | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Diretório do arquivo a partir de cargas úteis do DSM. |
| Extensão de Arquivo | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Extensão de arquivo de cargas úteis do DSM. |
| Caminho de Arquivo | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Caminho de arquivo a partir de cargas úteis do DSM |
| Nome do Arquivo | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Nome do Arquivo a partir de carregamentos úteis do DSM |
| Acesso concedido | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Acesso Concedido a partir de cargas úteis do DSM |
| Nome do grupo | Sim | Essa propriedade é um item temporário para extração customizada padrão de Nome do grupo a partir de cargas úteis do DSM. |
| Nível de representação | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Nível de personificação a partir das cargas úteis do DSM |
| Iniciados | Sim | Esta propriedade é um item temporário para a extração customizada padrão de Iniciado a partir de cargas úteis do DSM |
| Nome do usuário do inicializador | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Nome do usuário do inicializador a partir de cargas úteis do DSM |
| Nível de integridade | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Nível de Integridade a partir de cargas úteis do DSM |
| Processo de logon | Sim | Essa propriedade é um item temporário para a extração customizada padrão do Processo de Logon a partir de cargas úteis do DSM |
| Tipo de Logon | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Tipo de Logon a partir de cargas úteis do DSM. |
| Identificador da Máquina | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Identificador da Máquina a partir de cargas úteis do DSM.. |
| Hash MD5 | Sim | Essa propriedade é um item temporário para a extração customizada padrão de MD5 Hash de cargas úteis do DSM. |
| Comando pai | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Comando Pai a partir de cargas úteis do DSM |
| Nome do processo pai | Sim | Essa propriedade é um item temporário para a extração customizada padrão do Nome do Processo Pai a partir de cargas úteis do DSM. |
| Caminho do Processo Pai | Sim | Essa propriedade é um item temporário para a extração customizada padrão do Caminho do processo pai a partir de cargas úteis do DSM |
| Nome do Canal | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Nome do Canal a partir de cargas úteis do DSM. |
| Nome do Processo | Sim | Esta propriedade é um item temporário para a extração customizada padrão do Nome do processo a partir de cargas úteis do DSM... |
| Caminho do Processo | Sim | Essa propriedade é um item temporário para a extração customizada padrão do Caminho do processo a partir de cargas úteis do DSM |
| Propriedades | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Propriedades a partir de cargas úteis do DSM |
| Chave de registro | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Chave de Registro a partir de cargas úteis do DSM |
| Dados do valor do registro | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Dados de Valor de Registro de cargas úteis do DSM. |
| Nome de destino relativo | Não | Esta propriedade é um item temporário para a extração customizada padrão de Nome de Destino Relativo a partir de cargas úteis DSM. |
| Nome do arquivo de serviço | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Nome do arquivo de serviço a partir de cargas úteis do DSM |
| Nome do Serviço | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Nome do serviço de cargas úteis do DSM. |
| Hash SHA256 | Sim | Essa propriedade é um item temporário para a extração customizada padrão de SHA256 Hash de cargas úteis do DSM. |
| Nome Compartilhado. | Sim | Essa propriedade é um item temporário para extração customizada padrão de Nome de Compartilhamento a partir de cargas úteis do DSM. |
| Função de início | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Função de Início a partir de cargas úteis do DSM |
| Módulo de início | Sim | Essa propriedade é um item temporário para a extração customizada padrão do Módulo Inicial a partir de cargas úteis do DSM.. |
| Nome da Conta do Assunto | Sim | Essa propriedade é um item temporário para extração customizada padrão de Nome da conta do sujeito a partir de cargas úteis do DSM. |
| ID de Segurança da Conta de Destino | Não | Essa propriedade é um item temporário para a extração customizada padrão do ID de Segurança da Conta de Destino a partir de cargas úteis DSM. |
| Detalhes de destino | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Detalhes de Destino a partir de cargas úteis do DSM |
| Diretório do Arquivo de Destino | Sim | Essa propriedade é um item temporário para a extração customizada padrão do Diretório do arquivo de destino a partir das cargas úteis do DSM |
| Objeto de destino | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Objeto de Destino a partir de carregamentos úteis do DSM |
| Nome do processo de destino | Não | Essa propriedade é um item temporário para extração customizada padrão de Nome do processo de destino a partir de cargas úteis do DSM. |
| Caminho do processo de destino | Não | Esta propriedade é um item temporário para a extração customizada padrão do Caminho do processo de destino a partir de cargas úteis do DSM |
| Nome do usuário de destino | Sim | Essa propriedade é um item temporário para a extração customizada padrão de Nome do Usuário de Destino a partir de cargas úteis do DSM |
| Tipo | Não | Essa propriedade é um item temporário para extração customizada padrão de Tipo a partir de cargas úteis do DSM. |
| Host de URL | Sim | Essa propriedade é um espaço reservado para a extração personalizada padrão do URL Host das cargas úteis do DSM. |
A tabela a seguir mostra as regras e blocos de construção que estão no IBM Security QRadar Techniques for Turla Content Extension 1.0.0.
| Tipo | Nome | Descrição |
|---|---|---|
| Bloco de construção | BB:BehaviorDefinition: Abuso de Findstr | Detecta o abuso de findstr para evasão Os adversários podem usar findstr para ocultar seus artefatos ou procurar sequências específicas e evadir o mecanismo de defesa Com base na regra de Sigma Abusing Findstr for Defense Evasion por Furkan CALISKAN, @caliskanfurkan_, @oscd_initiativee Nasreddine Bencherchali Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Abuso de executável de impressão | Detecta o uso de print.exe para a cópia de arquivo remoto Com base na regra de Sigma Abusing Print Executable por Furkan CALISKAN, @caliskanfurkan_e @oscd_initiative Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Adulteração de conta – motivos suspeitos de falha no logon | Detecta códigos de erro incomuns em tentativas de login com falha para determinar atividade suspeita e violação com contas que foram desativadas ou de alguma forma restritas. |
| Bloco de construção | BB:BehaviorDefinition: Ignorar a lista de permissões de aplicativos via Bginfo | Detecta a execução do código VBscript que é referenciado no arquivo *.bgi . Com base na regra Aplicativo Whitelisting Bypass via Bginfo Sigma por Beyu Denis e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução arbitrária de comandos usando WSL | Detecta o possível uso do Subsistema Windows para binário do Linux® (WSL) como um LOLBIN para executar comandos arbitrários do Linux e do Windows. Com base na regra de assinatura Execução de comando arbitrário usando WSL por oscd.community, Zach Stanford @svch0ste Nasreddine Bencherchali (Nextron Systems). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Alteração de registro do Atbroker | Detecta a criação ou modificação de aplicativos Assistive Technology e a persistência com uso de 'at '. Com base na regra do Sigma Atbroker Registry Change por Mateusz Wydra e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Desova da Confluência Atlassiana | Detecta a geração de processos-filhos suspeitos pelo servidor Atlassian Confluence que pode indicar uma exploração bem-sucedida. Com base na regra de Sigma Atlassian Confluence CVE-2021-26084 por Bhabesh Raj. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Comando de coleta automatizada PowerShell | Detecta um adversário usando técnicas automatizadas para coletar dados internos. Com base na regra de assinatura do Comando de Coleção Automatizado PowerShell por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Prompt de comando de coleta automatizada | Detecta um adversário usando técnicas automatizadas para coletar dados internos. Com base na regra de Sigma do Automated Collection Command Prompt por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Uso de opção insegura do BPFtrace | Detecta o uso da opção bpftrace não segura Com base na regra de Sigma BPFtrace Unsafe Option Usage por Andreas Hunkeler (@Karneades). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: C2 Sessão sobre ICMP | Detecta a sessão C2 sobre ICMP. |
| Bloco de construção | BB:BehaviorDefinition: Nomes de arquivos de carbono | Detecta quando um nome de arquivo de Carbono é descoberto O primeiro conjunto de nomes é do Carbon 3.7x, enquanto o segundo conjunto de nomes é do Carbon 3.8x. |
| Bloco de construção | BB:BehaviorDefinition: Nome do serviço de carbono | Detecta quando um serviço do Carbon é instalado |
| Bloco de construção | BB:BehaviorDefinition: Limpando o histórico do console do Windows | Identifica quando um usuário tenta limpar o histórico do console. Um adversário pode limpar o histórico de comando de uma conta comprometida para ocultar as ações realizadas durante uma intrusão.. Com base na regra de Sigma Limpando o Histórico do Console do Windows por Austin Songer @austinsonger Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: ComRAT Instalação do Registro | Detecta quando um serviço ComRAT é instalado e uma carregamento útil é gravado no registro. Isso pode indicar um acesso existente, como credenciais comprometidas ou um backdoor instalado anteriormente |
| Bloco de construção | BB:BehaviorDefinition: ComRAT Criação de tarefas agendadas | Detecta quando novas criações de tarefa planejada. ComRAT utiliza tarefa planejada para executar comandos. |
| Bloco de construção | BB:BehaviorDefinition: Comandos Comuns de Reconhecimento | Detecta comandos de reconhecimento comuns que os adversários executam para reunir informações sobre a vítima A regra pode ser ajustada pelo campo Linha de Comandos do Processo CommandLine Algumas palavras-chave comuns do Processo CommandLine que aparecem são:
|
| Bloco de construção | BB:BehaviorDefinition: Criação de arquivos Cron | Detecta a criação de arquivo cron ou de arquivos em diretórios Cron Com base na regra de Sigma Persistence Via Cron Files por Roberto Rodriguez (Cyb3rWard0g), OTR (Open Threat Research) e MSTIC. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Preparação de arquivo muleta | Detecta quando uma preparação de arquivo Crutch no local C:\AMD\Temp . |
| Bloco de construção | BB:BehaviorDefinition: Nomes de arquivos de muleta | Detecta quando os arquivos Crutch em C:\Intel são descobertos Os arquivos crunch podem incluir:
|
| Bloco de construção | BB:BehaviorDefinition: Combinação Curl Start e VBS Executam Arbitrária PowerShell Código | Detecta a execução do código PowerShell arbitrário usando SyncAppvPublishingServer.vbs. Os adversários podem usar curl para fazer download de cargas úteis remotamente e executá-los. Com base na regra de Sigma Curl Download And Execute Combination por Sreeman e Nasreddine Bencherchali (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução de DLL via Register-cimprovider.exe | Detecta o uso de register-cimprovider.exe para executar o arquivo DLL arbitrário Com base na regra de assinatura DLL Execution Via Register-cimprovider.exe por Ivan Dyachkov, Yulia Fomina e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução de DLL via Rasautou | Detecta o uso de Rasautou.exe para carregar a DLL arbitrária especificada na opção -d e executa a exportação especificada em -p Com base na Execução de DLL via Rasautou.exe Regra de Sigma por Julia Fomina e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Dados compactados - PowerShell | Detecta dados compactados coletados antes da exfiltração. Com base na regra de Sigma Dados Compactados- PowerShell por Timur Zinniatullin e oscd.community Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Excluir log do aplicativo | Detecta a exclusão de arquivos de log Com base na regra de assinatura TeamViewer Arquivo de log excluído por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Desativar rastreamento ETW | Detecta um comando que limpa ou desativa qualquer log de rastreamento ETW que poderia indicar uma evasão de registro. Com base na regra de Sigma Desativar do rastreio ETW por @neu5ron, Florian Roth (Sistemas Nextron), Jonhnathan Ribeiro e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Descoberta via altitude de driver padrão - Sysmon | Detecta o uso de findstr com o argumento 385201, que poderia indicar uma descoberta em potencial de um serviço Sysinternals Sysmon instalado usando a altitude do driver padrão Com base na regra de assinatura Execução suspeita de Findstr 385201 por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Dotnet.exe Exec Dll e executar código não assinado LOLBIN | Detects dotnet.exe executará qualquer DLL e código não assinado. Com base na regra de assinatura Dotnet.exe Exec Dll and Execute Unsigned Code LOLBIN por Beyu Denis e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: utilitários de download em eventos | Detecta quando um utilitário de download está sendo usado em um Endpoint, como ftp, sftp, curl, cuteftp, wget, certutil, bitsou nc |
| Bloco de construção | BB:BehaviorDefinition: Adulteração de registro de ETW em processos .NET | Detecta mudanças nas variáveis de ambiente relacionadas à criação de log do ETW Com base na regra de assinatura Processos .NET de Tamper de Criação de Log ETW por Roberto Rodriguez (Cyb3rWard0g) e OTR (Open Threat Research). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Nomes de arquivos épicos | Detecta quando os arquivos Epic são descobertos |
| Bloco de construção | BB:BehaviorDefinition: Nomes de arquivos de log épicos | Detecta quando arquivos de log Epic são descobertos. |
| Bloco de construção | BB:BehaviorDefinition: Termos de pesquisa épicos | Detecta quando a Epic faz uma procura em determinados termos |
| Bloco de construção | BB:BehaviorDefinition: Exportação de caixa de correio do Exchange via PowerShell | Detecta o cmdlet do Exchange PowerShell New-MailBoxExportRequest que exporta o conteúdo de uma caixa de correio ou archive primário para um arquivo .pst Para obter mais informações sobre esse ataque, consulte Exportação da caixa de correio do Exchange via PowerShell. |
| Bloco de construção | BB:BehaviorDefinition: Intercâmbio PowerShell Uso de snap-ins | detecta inclusão e uso de snap-ins do Exchange PowerShell para exportar dados da caixa de correio. Com base no Intercâmbio PowerShell Uso de snap-ins Regra Sigma por FPT.EagleEye, e Nasreddine Bencherchali (Nextron Systems). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Executar arquivos com Msdeploy | Detecta a execução do arquivo usando o lolbin msdeploy.exe Com base na regra de assinatura Executar Arquivos com Msdeploy.exe por Beyu Denis e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: DLL de execução de escolha usando WAB | Detecta que o caminho para a DLL gravada no registro é diferente do padrão. O WAB.exe ativado tenta carregar a DLL do Registry. Com base no DLL de Execução de Escolha Usando WAB.EXE Regra de Sigma por oscd.communitye Natalia Shornikova Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução via Diskshadow | Detecta usando Diskshadow.exe para executar código arbitrário no arquivo de texto. Com base na Execução via Diskshadow.exe Regra de Sigma por Ivan Dyachkov e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução via WorkFolders | Detecta o uso de WorkFolders.exe para executar um control.exearbitrário Com base na regra de Sigma Execução via WorkFolders.exe por Maxime Thiebaut (@0xThiebaut). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução via stordiag | Detecta o uso de stordiag.exe para executar schtasks.exe, systeminfo.exee fltmc.exe. Com base na regra de Sigma Execução via stordiag.exe por Austin Songer (@austinsonger). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Download de arquivo usando ProtocolHandler | Detecta o uso de ProtocolHandler para fazer o download de arquivos Os arquivos transferidos por download serão localizados na pasta de cache Com base no Download de Arquivo Usando ProtocolHandler.exe Regra de Sigma por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Descoberta de arquivos e diretórios - Linux | Detecta uso de utilitários do sistema para descobrir arquivos e diretórios. Com base na regra de assinatura Descoberta de arquivo e diretório- Linux por Daniil iugoslavskiy e oscd.community Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Invocação Suspeita Fsutil | Detecta parâmetros suspeitos de fsutil, como excluir o diário USN ou configurá-lo com um tamanho pequeno Com base na regra de Sigma Chamada Suspeita de Fsutil por JEcco, E.M. Anhaus e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Nomes de arquivos do Gazer | Detecta quando arquivos Gazer são descobertos. |
| Bloco de construção | BB:BehaviorDefinition: Registro do Gazer | Detecta quando os nomes de registro do Gazer são descobertos |
| Bloco de construção | BB:BehaviorDefinition: Valores de registro do Gazer | Detecta quando os nomes de registro do Gazer são descobertos |
| Bloco de construção | BB:BehaviorDefinition: Ocultar tarefa agendada por meio de adulteração de valor de índice | Detecta quando o valor index de uma tarefa planejada é modificado do registro. Com base na regra de Sigma Ocultar tarefa de planejamento por meio de Tamper de valor de índice por Nasreddine Bencherchali Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Escondendo arquivos com Attrib.exe | Detecta o uso de attrib.exe para ocultar os arquivos dos usuários Com base na regra de Sigma Esconder arquivos com Attrib.exe por Sami Ruohonen. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: HyperStack Nomes de arquivos | Detecta quando arquivos HyperStack são descobertos. |
| Bloco de construção | BB:BehaviorDefinition: HyperStack Cano | Detecta quando o nome do canal do HyperStack é descoberto |
| Bloco de construção | BB:BehaviorDefinition: HyperStack Registro | Detecta quando registros HyperStack são descobertos. |
| Bloco de construção | BB:BehaviorDefinition: Senha inválida no login | Detecta senha inválida no login. |
| Bloco de construção | BB:BehaviorDefinition: Senha inválida durante Kerberos Pré-autenticação | Detecta uma senha inválida durante a pré-autenticação do Kerberos |
| Bloco de construção | BB:BehaviorDefinition: Instalação do Registro Kazuar | detecta quando um serviço Kazuar cria chaves de registro para persistência. |
| Bloco de construção | BB:BehaviorDefinition: Linux Exclusão de arquivo | detecta a exclusão do arquivo usando os comandos rm, shred ou unlink Adversários podem excluir arquivos usando esses comandos para encobrir suas atividades. Com base na regra de sinal Exclusão de arquivo por Ömer Günal e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Scripts de logon com UserInitMprLogonScript | Detecta modificação ou criação de UserInitMprLogonScript. Com base no Scripts de logon ( UserInitMprLogonScript) Regra Sigma de Tom Ueltschi (@c_APT_ure) e Tim Shelton. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Scripts de logon com UserInitMprLogonScript Registro | Detecta modificação ou criação de UserInitMprLogonScript. |
| Bloco de construção | BB:BehaviorDefinition: Lolbin PressAnyKey e atividade de download | Detecta uma determinada combinação de sinalizadores da linha de comandos usada pelo devinit.exe lolbin para fazer download de pacotes MSI arbitrários em um sistema Windows Com base no NodejsTools PressAnyKey Lolbin Regra Sigma de Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Instalação do Agente de Transporte MSExchange | Detecta a instalação de um Transport Agent no Exchange. Com base na regra Sigma Instalação do MSExchange Transport Agent-Builtin por Tobias Michalski. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Registro do Agente de Transporte MSExchange | Detecta modificações para a lista de agentes registrados no Exchange |
| Bloco de construção | BB:BehaviorDefinition: Arquivos maliciosos gravados na pasta de fontes | Monitora os possíveis arquivos maliciosos ocultados no local C:\Windows\Fonts\. Essa pasta não requer privilégios de administrador para ser gravada e executada. Com base na regra de assinatura Gravação de arquivos maliciosos na pasta de fontes do Sreeman. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Mavinject injeta DLL no processo em execução | Detecta a injeção de processo usando a ligação assinada do Windows Mavinject com a sinalização INJECTRUNNING . Com base na regra de assinatura Mavinject Inject DLL to Running Process por frack113e Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Criação de modelo do Microsoft Excel | Detecta a criação de arquivos de modelo para Microsoft Excel a partir de um processo que não é Excel. Com base na regra de Sigma Criação de Modelo do Office por Max Altgelt (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Criação de modelo do Microsoft Word | Detecta a criação de arquivos de modelo para Microsoft Word a partir de um processo que não é Word. Com base na regra de Sigma Criação de Modelo do Office por Max Altgelt (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Modificação das chaves ocultas do Explorer | Detecta modificações nas chaves de arquivos ocultos no registro. Com base na regra de Sigma Modificação de chaves ocultas do Explorer por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Instalação do Registro de Mosquitos | Detecta quando um serviço Mosquito cria chaves de registro para persistência. O malware inclui um valor de shell em HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ |
| Bloco de construção | BB:BehaviorDefinition: Instalação do Registro de Mosquitos (2) | Detecta quando um serviço Mosquito cria chaves de registro para persistência. O malware inclui um valor local_update_check em HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. |
| Bloco de construção | BB:BehaviorDefinition: Comando de exfiltração NTDS | Detecta um comando usado por conti para exfiltrar NTDS. Com base na regra de Sigma Conti NTDS Exfiltration Command por Max Altgelt e Tobias Michalski. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução Netcat | Detecta execução netcat suspeita. Com base na regra de Sigma Execução suspeita do Netcat por frack113e Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Encaminhamento de porta Netsh | Detecta comandos do netsh que configuram um encaminhamento de porta Com base na regra de assinatura Nova regra de encaminhamento de porta incluída por meio do Netsh.EXX por Florian Roth (Nextron Systems), omkar72, oscd.communitye Swachchhanda Shrawan Poudel. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Encaminhamento de porta Netsh RDP | Detecta comandos do netsh que configuram um encaminhamento de porta da porta 3389 usada para RDP Com base na regra Regra de encaminhamento de porta RDP incluída por meio do Netsh.EXE Sigma por Florian Roth (Nextron Systems) e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Criação de novo serviço usando PowerShell | Detecta a criação de um novo serviço usando o Powershell Com base na regra de assinatura Nova criação de serviço usando o PowerShell por Timur Zinniatullin, Daniil Jugoslavskiy e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Criação de novo serviço usando Sc.EXE | Detecta a criação de um novo serviço usando o utilitário sc.exe .. Com base na regra de assinatura Nova criação de serviço usando Sc.EXE por Timur Zinniatullin, Daniil Jugoslavskiy e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Passe a atividade hash em logons de rede | Detecta a técnica de ataque passar o hash que é usado para mover lateralmente dentro da rede. Com base na regra de Sigma Pass the Hash Activity 2 por Dave Kennedy, Jeff Warren (método) e David Vassallo (regra). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Passe a atividade Hash em NewCredentials Logons | Detecta a técnica de ataque passar o hash que é usado para mover lateralmente dentro da rede. Com base na regra de Sigma Pass the Hash Activity 2 por Dave Kennedy, Jeff Warren (método) e David Vassallo (regra). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: PortProxy Chave do registro | Detecta a modificação da chave de registro do proxy da porta que é usada para o encaminhamento de porta Com base na regra de Sigma PortProxy Registry Key por Andreas Hunkeler (@Karneades). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Possível Linux Escalação de privilégios | Detecta comandos shell suspeitos que indicam a fase de reunião de informações como preparação para a Escalação de Privilégio Com base na regra de assinatura Preparação de Escalada de Privilégio por Patrick Bareiss. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Possíveis modificações não autorizadas do MBR | Detecta o possível uso malicioso não autorizado do bcdedit.exe Com base no Potencial Ransomware ou Violação MBR Não Autorizada Via Bcdedit.EXE Regra de assinatura por @neu5ron. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Indicadores de grupos de equações potenciais | Detecta comandos de shell suspeitos usados em vários scripts e ferramentas do Grupo de Equações Com base na regra de Sigma de Indicadores do Grupo de Equações por Florian Roth Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: atividade de download de arquivo do PowerShell | Detecta quando o powershell é usado para fazer download de arquivos. |
| Bloco de construção | BB:BehaviorDefinition: Execução Powercat | Detecta a execução de powercat Com base na regra do Netcat The Powershell Version Sigma por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Descoberta de arquivos e diretórios Powershell | Localiza ou descobre arquivos no sistema de arquivos.. Na execução, as informações de arquivo e pasta são exibidas. Com base na regra de Sigma Descoberta de arquivo Powershell e diretório por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Pré-busca de exclusão de arquivo | Detecta a exclusão de um arquivo de pré-busca Com base na regra de assinatura Arquivo de pré-busca excluído por Cedric MAURUGEON. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução de proxy via Explorer | Detecta o uso do explorer.exe para evitar mecanismos de defesa. Com base na regra de Sigma Execução de Proxy Via Explorer.exe por Furkan CALISKAN, @caliskanfurkan_e @oscd_initiative Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Regsvr32 Linha de comando sem DLL | Detecta uma execução de regsvr.exe que não contém uma DLL na linha de comando Com base na regra de Sigma Regsvr32 Linha de Comandos sem DLL por Florian Roth Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Certificado raiz instalado via CertMgr | Detecta adversários instalando um certificado raiz em um sistema comprometido para evitar avisos ao se conectar a servidores da web controlados pelo adversário. Com base na regra de assinatura Certificado Raiz Instalado por oscd.community, @redcanarye Zach Stanford @svch0st. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Certificado raiz instalado via Certutil | Detecta adversários instalando um certificado raiz em um sistema comprometido para evitar avisos ao se conectar a servidores da web controlados pelo adversário. Com base na regra de assinatura Certificado Raiz Instalado por oscd.community, @redcanarye Zach Stanford @svch0st. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Executa objeto COM via Verclsid | Detecta quando o verclsid.exe é usado para executar o objeto COM via GUID. Com base na regra de assinatura Verclsid.exe Executa Objeto COM por Victor Sergeev e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Tarefa Cron agendada | Detecta o uso do utilitário cron para criar uma tarefa planejada.. |
| Bloco de construção | BB:BehaviorDefinition: Tarefa/trabalho Cron agendado - Linux | Detecta o uso do utilitário cron para criar uma tarefa planejada.. Com base na regra de Sigma Tarefa Cron Planejada- Linux por Alejandro Ortuno e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Tarefa agendada Gravar para System32 Tarefas | Detecta a criação de tarefas a partir de processos executados de locais suspeitos. Com base na regra de Sigma de Gravação de Tarefa Planejada Suspeita em System32 Tarefas por Florian Roth Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Tarefa/trabalho agendado - Windows | Detecta tarefa planejada incomum. Com base no Tarefa agendada incomum uma vez às 00:00 Regra Sigma por pH-T. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução de interpretador de script de pasta suspeita | Detecta um script suspeito de execuções em pastas temporárias ou pastas acessíveis por variáveis de ambiente Com base na regra de Sigma Execução do Interpretador de Script de Pasta Suspeita por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Descoberta de software de segurança - Linux | Detecta o uso de utilitários do sistema para descobrir a descoberta de software de segurança Com base na regra de Sigma do Security Software Discovery- Linux por Daniil Jugoslavskiy e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Descoberta de software de segurança - Powershell | Detecta a descoberta de software de segurança do PowerShell Com base na regra de Sigma do Security Software Discovery by Powershell por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Definir arquivo de sistema do Windows com atributo | Detecta arquivos marcados como um arquivo de sistema usando o utilitário attrib.exe . Com base na regra Configurar Arquivos como Arquivos do Sistema Usando Attrib.EXE Sigma por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução binária especificada via Devtoolslauncher ou OpenWith | Detecta quando OpenWith.exe ou Devtoolslauncher.exe executa outro binário. Com base na regra de Sigma OpenWith.exe Executa o binário especificado por Beyu Denis, oscd.community (regra) e @harr0ey (ideia). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Esquilo Lolbin | Detecta Possível Squirrel Packages Manager como Lolbin. Com base na regra de Sigma Squirrel Lolbin por Karneades / Markus Neis, Jonhnathan Ribeiro e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Atalho de inicialização criado | Detecta quando um serviço cria um atalho sob a pasta de inicialização do Windows |
| Bloco de construção | BB:BehaviorDefinition: Atividade Suspeita em Comandos Shell | detecta comandos de shell suspeitos usados em várias explorações de código Com base na regra Sigma Atividade Suspeita em Comandos Shell por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução Suspeita de Atbroker | Detecta Atbroker executando aplicativos Assistive Technology não padrão. Com base na regra de Sigma Execução suspeita do Atbroker por Mateusz Wydra e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Expansão de arquivo de gabinete suspeito | Detecta o uso do utilitário de expansão integrado para descompactar arquivos de cabine. Com base na regra de Sigma de Expansão de Arquivo de Gabinete Suspeito por Bhabesh Raj Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Comandos Suspeitos Linux | Detecta comandos relevantes frequentemente relacionados à atividade de malware ou hacking. Com base na regra de Sigma Comandos suspeitos Linux por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Comando de exclusão suspeito | detecta a linha de comandos suspeita para remover exe ou dll Com base na regra de Exclusão de Arquivo Greedy Usando Del Sigma por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Log de eventos suspeito apagado via PowerShell | Detecta a limpeza de logs de eventos usando o PowerShell Com base na regra de Sigma Limpeza de Log de Eventos Suspeitos ou Mudança de Configuração por Ecco, Daniil Jugoslavskiy, oscd.communitye D3F7A5105 Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Log de eventos suspeito apagado via WMIC | Detecta limpeza de logs de eventos usando wmic. Com base na regra de Sigma Limpeza de Log de Eventos Suspeitos ou Mudança de Configuração por Ecco, Daniil Jugoslavskiy, oscd.communitye D3F7A5105 Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Log de eventos suspeito limpo via Wevtutil | Detecta limpeza de logs de eventos usando wevtutil. Com base na regra de Sigma Limpeza de Log de Eventos Suspeitos ou Mudança de Configuração por Ecco, Daniil Jugoslavskiy, oscd.communitye D3F7A5105 Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Atividade suspeita de grupo e reconhecimento de conta usando Net.EXE | Detecta a atividade de linha de comandos de reconhecimento suspeita em sistemas Windows usando Net.EXE Com base na Atividade de Reconhecimento de Grupo Suspeito e Conta Usando Net.EXE Regra de Assinatura por Florian Roth (Sistemas Nextron), omkar72, @svch0ste Nasreddine Bencherchali (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: DLL de carga suspeita e execução de extexport | Detecta quando um usuário instala certificados usando o CertOC.exe para carregar o arquivo DLL de destino Isso também detecta Extexport.exe carrega DLL e é executado a partir de outra pasta do caminho original. Com base na regra de Sigma Execução de extexport suspeita por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Carga Suspeita de Advapi31 | detecta o carregamento de advapi31.dll por um processo em execução em uma pasta não comum Com base na regra de assinatura Carregamento suspeito de Advapi31.dll por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Carregadores suspeitos | Detecta carregadores diferentes usados pela atividade do grupo do Lazarus Baseado na regra Sigma Lazarus Loaders por Florian Roth e wagga. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução Líquida Suspeita | Detecta a atividade de linha de comandos de reconhecimento suspeita em sistemas Windows usando o Cmdlet PowerShell Get-LocalGroupMember Com base na regra de Sigma Net.exe Execution por Michael Haag, Mark Woan (melhorias), James Pemberton, @4A616D6573e oscd.community (melhorias). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Personagem de ofuscação suspeito na linha de comando | Detecta uma possível ofuscação de carga útil por meio da linha de comando Com base no Caractere Dosfuscation Suspeito na Linha Commandline Sigma regra por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Registro suspeito via cscript | Detecta o registro de um Provedor de VSS/VDS como um aplicativo COM + |
| Bloco de construção | BB:BehaviorDefinition: Logon remoto suspeito com credenciais explícitas | Detecta processos suspeitos que efetuam logon com credenciais explícitas |
| Bloco de construção | BB:BehaviorDefinition: Linha de comando do shell reverso suspeito | detecta comandos shell suspeitos ou código de programa que podem ser executados ou usados na linha de comandos para estabelecer um shell reverso... Com base na regra de Sigma Linha de comandos de shell reverso suspeito por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Execução de script suspeito da pasta temporária | Detecta execuções de script suspeitas a partir da pasta temporária. Com base na regra de Sigma Execução de script suspeito da pasta temporária por Florian Roth, Max Altgelt e Tim Shelton. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Suspeito ZipExec Execução | Detecta o uso de ZipExec , que é uma ferramenta de Prova de Conceito (POC) para agrupar ferramentas baseadas em binário em um arquivo zip protegido por senha. Com base na regra de assinatura Suspeito ZipExec Execution por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Conexão de entrada Svchost | Detecta conexões recebidas suspeitas para o processo svchost.exe . |
| Bloco de construção | BB:BehaviorDefinition: Exclusão de arquivo Sysinternals SDelete | Detecta a exclusão de arquivos por Sysinternals SDelete.. Com base na regra Sigma File Deleted Via Sysinternals SDelete de Roberto Rodriguez (Cyb3rWard0g) e OTR (Open Threat Research). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Descarregamento do driver Sysmon | Detecta o possível descarregamento do driver Sysmon Com base na regra do Sigma Sysmon Driver Unload por Kirill Kiryanov e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: TaskCache Modificação de registro | detecta modificações de registro suspeitas para a chave TaskCache Com base na regra de Sigma Planejado TaskCache por Programa Incomum por Syed Hasan (@syedhasan009). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Histórico de conexão do cliente do Terminal Server apagado - Registro | Detecta a exclusão de chaves do registro que contêm o histórico de conexão do MSTSC Com base na regra Sigma Histórico de Conexão do Cliente do Servidor de Terminal Limpar-Registro por Christian Burkard (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Movimento Lateral do Grupo Turla | Detecta o movimento lateral automatizado pelo grupo Turla Com base na regra Sigma Movimento Lateral do Grupo Turla por Markus Neis. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Turla LightNeuron Instalação | É acionado quando um Turla LightNeuron é instalado |
| Bloco de construção | BB:BehaviorDefinition: Turla LightNeuron Objetos | Aciona quando um objeto Turla LightNeuron é carregado. |
| Bloco de construção | BB:BehaviorDefinition: Usuário adicionado aos administradores locais | Detecta contas do usuário que são incluídas no grupo Administradores locais, que podem ser atividade legítima ou um sinal de atividade de escalada de privilégio. |
| Bloco de construção | BB:BehaviorDefinition: Agente do usuário alterado via Curl | Detecta um início de processo curl suspeito com agente do usuário. Com base na regra de Sigma Agentes do usuário de mudança de curl suspeitos- Linux por Nasreddine Bencherchali (Nextron Systems). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Agente do usuário alterado via Powershell | Detecta a incorporação de comandos suspeitos em um agente do usuário Com base na regra de Sigma Mudar agentes do usuário com WebRequest por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: WinDbg/CDB Ignorar o uso da lista de permissões de aplicativos e uso do LOLBIN via Dxcap.exe | Detecta a execução de Dxcap.exe e também detecta o uso de cdb.exe para ativar o shellcode de 64 bits ou processos ou comandos arbitrários de um arquivo de script do depurador. Com base no WinDbg/CDB Uso de LOLBIN Regra Sigma de Beyu Denis, oscd.community e Nasreddine Bencherchali. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Processos de shell/script do Windows gerando programas suspeitos | Detecta processos filhos suspeitos de um shell do Windows e processos de script como wscript, rundll32, powershelle mshta. Com base na regra de Sigma Shell do Windows / Processos de Script de Spawn de Programas Suspeitos por Florian Roth (Sistemas Nextron) e Tim Shelton. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Descoberta de software do Windows | Aciona quando o software Windows é descoberto. Com base na regra de Sigma Descoberta de Software do Windows Detectada por Nikita Nazarov e oscd.community Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Descoberta de software do Windows - PowerShell | Aciona quando o software Windows é descoberto. Com base na regra de Sigma do Detected Windows Software Discovery- PowerShell por Nikita Nazarov e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Carga binária do serviço Spooler do Windows | Detecta o carregamento DLL da pasta de backup do Serviço Spooler. Com base no Carga binária suspeita do serviço Spooler do Windows Regra Sigma por FPT.EagleEye, e Thomas Patzke (melhorias). Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Exclusão de arquivo do serviço Spooler do Windows | Detecte exclusões DLL da pasta do driver do Spooler Service. Com base na regra de Sigma Exclusão de Arquivo Suspeito do Serviço Spooler do Windows por Bhabesh Raj. Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Cliente de atualização do Windows LOLBIN | Detecta a execução de código por meio do cliente Windows Update. Com base na regra do Windows Update Client LOLBIN Sigma por FPT.EagleEye . Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:BehaviorDefinition: Proteção contra gravação para armazenamento desativado | Detecta as mudanças no registro para desativar qualquer propriedade de proteção contra gravação para dispositivos de armazenamento Com base na regra de Sigma Write Protect For Storage Disabled por Sreeman Usado sob a Licença de Regra de Detecção 1.1. |
| Bloco de construção | BB:CategoryDefinition: Permissão do arquivo alterada | Define quando um comando foi executado para mudar as permissões designadas a um arquivo. |
| Bloco de construção | BB:CategoryDefinition: eventos de download de objeto | Edite este bloco de construção para incluir todas as categorias de eventos relacionadas ao download de objetos (arquivo, pasta, etc.). |
| Bloco de construção | BB:DeviceDefinition: Dispositivos terminais | Define os dispositivos de Terminal no sistema |
| Regra | Abuso de token de acesso | Detecta personificação e roubo de token. Com base na regra de Sigma Abuso de token de acesso por Michaela Adams e Zach Mathis. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Acesso ao compartilhamento ADMIN$ | Detecta acesso ao compartilhamento $ADMIN. Com base na regra de Sigma Acesso a ADMIN$ Compartilhar por Florian Roth Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Active Directory Enumeração de Grupo / Computador | Aciona quando um grupo ou um computador é enumerado no Active Directory. Com base no Active Directory Enumeração de grupo com Get-AdGroup e Active Directory Enumeração de computadores com Get-AdComputer Regras Sigma por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Active Directory Kerberos DLL Carregado por meio do Aplicativo Office | Detecta a DLL Kerberos sendo carregada por um produto Microsoft Office. Com base na regra do Active Directory Kerberos DLL Carregado por meio do Aplicativo Office Sigma por Antonlovesdnb. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Active Directory Analisando DLL Carregada Via Aplicativo Escritório | Detecta DLL DSParse sendo carregado por um produto Microsoft Office. Com base na regra de Sigma Active Directory Analisando DLL Carregada por meio do Aplicativo Office por Antonlovesdnb. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Arquivos de gravação de fluxos de dados alternativos | Detecta arquivos de gravação de fluxo de dados alternativo (ADS). O ADS pode ser utilizado para armazenar arquivos de configuração. Com base na regra Sigma do Fluxo de Dados Alternativos NTFS por Sami Ruohonen. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Tentativa de ignorar o UAC por meio do Windows Firewall Snap-In Hijacking | Detecta tentativas de ignorar o UAC por meio do snap-in do firewall do Windows. Para obter mais informações sobre esse ataque, consulte Contorno do UAC por meio do Windows Firewall Snap-In Hijack. |
| Regra | Comandos de coleção automatizados | Detecta um adversário usando técnicas automatizadas para coletar dados internos. |
| Regra | DLL CLR carregada por meio do aplicativo do Office | Detecta DLL do CLR sendo carregado por um produto Microsoft Office. Com base na regra Sigma CLR DLL Loaded Via Office Applications por Antonlovesdnb. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | DLL CLR carregada por meio de aplicativos de script | Detecta DLLs do CLR sendo carregadas por aplicativos de script. Com base no DotNet DLL CLR Carregado por Aplicativos de Script Regra Sigma por omkar72e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Interceptação de COM com locais suspeitos | Detecta possível interceptação de COM em que o 'Servidor' (In/Out) está apontando para um local suspeito. Com base na regra de assinatura Hijacking COM para persistência com locais suspeitos por Nasreddine Bencherchali. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Interceptação de COM via Sdclt | Detecta possível interceptação de COM via Sdclt. Baseado no COM Hijack via Sdclt Sigma regra por Omkar Gudhate. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Radles de Download do Objeto COM. | Detecta o uso de objetos COM que podem ser abusados para fazer download de arquivos no PowerShell pelo CLSID. Com base na regra de assinatura Script de uso de berços de download de objetos COM potenciais por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Conexão iniciada pelo Certutil | Detecta uma conexão de rede inicializada pela Ferramenta certutil.exe Os invasores podem abusar do certutil.exe para baixar malware ou ferramentas ofensivas de segurança. Com base na regra de assinatura Certutil Initiated Connection por frack113e Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Limpar Histórico de Comando.. | Detecta atividade limpar histórico de comando. |
| Regra | ComRat Registry Service | Aciona quando um serviço comrat é instalado e uma carregamento útil é gravado no registro. Isso pode indicar um acesso existente, como credenciais comprometidas ou um backdoor instalado anteriormente |
| Regra | Comando executado via SettingContent-ms | Detecta comando executado via SettingContent-ms. Com base no Execução arbitrária de comandos Shell via Settingcontent-Ms Regra Sigma de Sreeman. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Execução de linha de comando com URL suspeito e cadeias de caracteres AppData | Detecta uma execução de linha de comando suspeita que inclui um URL e uma string AppData nos parâmetros da linha de comando, conforme usado por vários droppers. Baseado na regra Sigma Command Line Execution with Suspicious URL and AppData Strings, de Florian Roth, Jonhnathan Ribeiro e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Comunicação com EquationGroup C2 Ferramentas | Detecta comunicações para servidores C2 . Com base na regra de Sigma Grupo de Equações C2 Comunicação por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Copiando Arquivos Sensíveis com Dados de Credencial | Detecta tentativas de copiar arquivos sensíveis com dados de credenciais. Com base na regra de assinatura Copiando arquivos sensíveis com dados de credenciais por Teymur Kheirkhabarov, Daniil Jugoslavskiy e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação do Arquivo Macro do Outlook C2 | Detecta a criação de um arquivo de macro do Outlook C2 . Com base no Panorama C2 Criação de macros Regra Sigma por @ScoubiMtl. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação de Arquivos Executáveis Suspeitos | Detecta a criação de arquivos executáveis suspeitos Com base na regra Criação de arquivo executável suspeito Sigma por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação ou Modificação de Aplicativos de Tecnologia Auxiliares | Detecta a criação ou modificação de aplicativos Assistive Technology. Com base na regra do Sigma Atbroker Registry Change por Mateusz Wydra e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação ou modificação de uma nova tarefa ou serviço planejado do GPO | Detecta a criação ou modificação de uma nova tarefa ou serviço planejado baseado em Política de Grupo. Com base na regra de Sigma Persistência e Execução em Escala via Tarefa Planejada do GPO por Samir Bousseaden. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Ferramentas de dump de credencial denominadas canais | Detecta a execução de ferramentas de dumping de credenciais conhecidas por meio de canais nomeados específicos. Com base na regra de Sigma Cred Dump-Tools Named Pipes por Teymur Kheirkhabarov e oscd.community Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Curl Download E Executar Combinação | Detecta possíveis invasores usando curl para fazer download de cargas úteis remotamente e executá-los. Com base na regra de Sigma Curl Download And Execute Combination por Sreeman e Nasreddine Bencherchali (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Execução de Ferramentas de Exfiltração DNS | Detecta a execução da ferramenta de exfiltração de DNS Com base na regra de Sigma Execução de Ferramentas de Exfiltração e Tunelamento de DNS por Daniil Jugoslavskiy e oscd.community Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Exfiltração de DNS no Powershell | Detecta a exfiltração de DNS no powershell. Com base na regra de Sigma Powershell DNSExfiltration por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | DNS HybridConnectionManager Ônibus de serviço | Detecta Hybrid Connection Manager consultando o barramento de serviço. Com base no DNS HybridConnectionManager Ônibus de serviço Regra Sigma de Roberto Rodriguez ( Cyb3rWard0g) e OTR (Pesquisa de Ameaças Abertas). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | DarkSide Atividade de Ransomware Detectada | Detecta a atividade de ransomware DarkSide Com base no DarkSide Ransomware Pattern Sigma regra por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Dados divididos em partes (Mac) | Detecta dados divididos em partes. Com base na regra de Sigma Dividir um Arquivo em Peças por Igor Fits, Mikhail Larin e oscd.community Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Dados divididos em partes (Unix) | Detecta dados divididos em partes. Com base na regra de Sigma Dividir um arquivo em partes- Linux por Igor Fits e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Contas padrão usadas | Detecta as contas padrão usadas Com base na regra de assinatura Manipulação Suspeita de Contas Padrão por Nasreddine Bencherchali. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Desativar Funcionalidades do Windows Defender por meio de Chaves de Registro | Detecta quando invasores desativam a funcionalidade do Windows Defender usando o registro do Windows. Com base no Desative as funcionalidades do Windows Defender por meio de chaves de registro Regra Sigma por AlertIQ, Ján Trenčanský, frack113, Nasreddine Bencherchali e Swachchhanda Shrawan Poudel. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Desativado CrashDump via Registro | Detecta o CrashDump desativado por meio de modificação de registro Com base na regra de Sigma CrashControl CrashDump Desativado por Tobias Michalski Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Conexão de Rede de Saída Dllhost | Detecta as conexões de saída iniciadas pelo dllhost.exe |
| Regra | Dllhost.exe Anomalia de Execução | Detecta o spawn do processo dllhost.exe sem argumentos de linha de comandos que são raros e podem indicar atividade de injeção de processo ou malware imitando processos do sistema semelhantes. Com base na regra de assinatura Dllhost.EXE Anomalia de execução por Nasreddine Bencherchali (Nextron Systems). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Descoberta de confiança de domínio | Detecta a execução de nltest.exe e dsquery.exe para a descoberta de confiança de domínio Essa técnica é usada por invasores para enumerar confiança do Active Directory . Com base na regra de Sigma Descoberta de Confiança de Domínio por E.M. Anhaus (originalmente do Atomic Blue Detections), Tony Lambert, oscd.communitye omkar72. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | DotNET DLL Carregada por meio do Aplicativo Office | Detecta qualquer DLL de conjunto sendo carregado por um produto Microsoft Office. Com base na regra Sigma DotNET Assembly DLL Carregada por meio do Aplicativo Office por Antonlovesdnb. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Fazer download da carga útil usando o recurso sem interface com o usuário da borda | Detecta o download de cargas úteis usando o recurso sem cabeça do Edge. Com base na regra de Sigma Potencial de Download de Arquivo Arbitrário Via MSEdge.EXE por Florian Roth (Sistemas Nextron) e Nasreddine Bencherchali (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Fazer download da carga útil por meio do console usando o Edge | Detecta o download de cargas úteis usando o console do Edge Com base no Abuso de borda para download de carga útil por meio do console Regra de Sigma por mdecrevoisier Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Credenciais de Dump do Gerenciador de Credenciais do Windows com PowerShell | Detecta adversários que procuram locais comuns de armazenamento de senha para obter credenciais do usuário Com base nas Credenciais de Dump do Gerenciador de Credenciais do Windows com PowerShell Regra de Sigma por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Rastreio ETW Desativado | Detecta um comando que limpa ou desativa qualquer log de rastreamento ETW que poderia indicar uma evasão de registro. Com base na regra Desativar do Rastreio ETW Sigma por @neu5ron, Florian Roth, Jonhnathan Ribeiro e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Descoberta de conta de e-mail do Powershell | Detecta a descoberta de conta de email do Powershell |
| Regra | Atividade do canal criptografado | Detecta atividade do canal criptografado. Com base na regra de assinatura Conexão SSL suspeita por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Enumerar Credenciais do Gerenciador de Credenciais do Windows com o PowerShell | Detecta adversários que procuram locais comuns de armazenamento de senha para obter credenciais do usuário |
| Regra | Número excessivo de nslookup do Powershell | Detecta um número excessivo de nslookup do Powershell. Com base na regra Nslookup PowerShell Download Cradle- ProcessCreation Sigma por Nasreddine Bencherchali (Nextron Systems). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Arquivo executável criado por outro executável | É acionado quando um executável é criado por outro executável Com base na Criação de um Executável por uma Regra de Sigma Executável por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Execução de Dnscat | Detecta a execução de Dnscat Com base na regra de assinatura Execução do Dnscat por Daniil Jugoslavskiy e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Execução de Ferramentas de Exfiltração e Tunelamento | Detecta a execução de ferramentas de exfiltração e de tunelamento Com base na regra Sigma Execução de Ferramentas de Exfiltração e Tunelamento por Daniil Jugoslavskiy e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Execução de Não DLL Usando Rundll32 | Detecta rundll32.exe em execução não DLL Com base na regra de assinatura Suspeito Rundll32 Execution With Image Extension pelo Hieu Tran. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Execução do Tap Installer Software | Detecta a execução do software Tap Installer Com base na regra de Sigma Execução do instalador de toque por Daniil Jugoslavskiy, Ian Davis e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Exploração de EQNEDT32 | Detecta CVE-2017-11882 , que é uma exploração de EQNEDT32.EXE para gerar outros processos. Com base na regra de assinatura Descartes explorando CVE-2017-11882 por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação de arquivo por processos não privilegiados no Diretório de arquivos de programas | Detecta a criação de arquivo por processos não privilegiados no diretório de Arquivos de Programas Com base na regra de assinatura Arquivos Eliminados para Arquivos de Programas por Processo Não Primário por Teymur Kheirkhabarov (ideia), Ryan Plas (regra) e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Download de arquivo via Bitsadmin | Detecta o uso de bitsadmin fazendo download de um arquivo. Com base na regra de assinatura File Download Via Bitsadmin por Michael Haag e FPT.EagleEye. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Modificação de permissão de arquivo e diretório (Windows) | Detecta modificação de permissão de arquivo e de diretório no Windows Com base na regra de Sigma Modificações de Permissões de Arquivo ou Pasta por Jakob Weinzettl, oscd.communitye Nasreddine Bencherchali.. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Modificação de permissão de arquivo e diretório após download | Detecta modificação de permissão de arquivo e diretório após evento de download de arquivo. |
| Regra | Chamada suspeita de dedo | Detecta a execução de ferramenta finger.exe envelhecida suspeita frequentemente usada em ataques de malware hoje em dia. Com base na regra de assinatura Finger.exe Chamada Suspeita por Florian Roth (Sistemas Nextron), omkar72e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | GAC DLL carregado por meio do aplicativo Office | Detecta qualquer DLL GAC sendo carregado por um produto Microsoft Office. Com base na regra Sigma GAC DLL Loaded Via Office Applications por Antonlovesdnb. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Obter-Descoberta e Exportação do Usuário do ADUser | Aciona quando o uso do cmdlet Get-ADUser para coletar informações do usuário e produzi-las em um arquivo.. Com base no User Discovery And Export Via Get-ADUser Cmdlet- PowerShell Sigma rule por Nasreddine Bencherchali (Nextron Systems). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Google Chrome Carregamento lateral de DLL | Detecta o carregamento lateral de DLL no Google Chrome Com base na regra Sigma do Potencial Chrome Frame Helper DLL Sideloading por Nasreddine Bencherchali (Sistemas Nextron) e Wietze Beukema (projeto e pesquisa). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Ocultando Arquivos com Attrib | Detecta o uso de attrib.exe para ocultar os arquivos dos usuários Com base na regra de Sigma Esconder arquivos com Attrib.exe por Sami Ruohonen. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Instalação do serviço do Hybrid Connection Manager | Detecta a instalação do serviço do Hybrid Connection Manager Com base no HybridConnectionManager Instalação de serviço Regra Sigma de Roberto Rodriguez ( Cyb3rWard0g) e OTR (Pesquisa de Ameaças Abertas). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Na memória PowerShell | Detecta o carregamento de DLLs essenciais usadas por PowerShell, mas não pelo processoPowershell.exe . Com base na regra de assinatura In-memory PowerShell por Tom Kern, oscd.community, Natalia Shornikova e Tim Shelton. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Captura de entrada usando bloqueio do mouse | Detecta a captura de entrada usando a ferramenta de bloqueio do mouse Com base na regra de Sigma Mouse Lock Credential Gathering por Cian Heasley Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Linux Execução da Ferramenta Doas | Detecta a execução da ferramenta do Linux doas Com base na regra de Sigma Linux Doas Tool Execution por Sittikorn S e Teoderick Contreras Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Código do idioma do sistema de pesquisa | Detecta a consulta do código de idioma do sistema Com base na regra de assinatura do Console CodePage Lookup Via CHCP por _pete_0e TheDFIRReport. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Malicioso Base64 no Registro | Detecta modificações de gravação de registro em que um adversário tenta ocultar comandos codificado Com base na regra de Sigma Variável de ambiente suspeita foi registrada por Nasreddine Bencherchali. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Canal nomeado malicioso | Aciona quando um pipe nomeado é criado por malware APT conhecido. |
| Regra | Scripts maliciosos do PowerShell | Detecta a criação de scripts do Powershell conhecidos para exploração Com base no Malicioso PowerShell Scripts- FileCreation Regra de Sigma por Markus Neis, Nasreddine Bencherchali (Nextron Systems), Mustafa Kaan Demir e Georg Lauenstein. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Uso malicioso do painel de controle | Detecta o uso malicioso de itens do painel de controle Baseado nos Itens do painel de controle por Kyaw Min Thein e Furkan Caliskan (@caliskanfurkan_). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Tarefa ou Serviço de mascaramento | É acionado quando a tarefa ou o serviço está mascarado |
| Regra | Comunicação do Microsoft Binary Github | Detecta um executável na pasta do Windows acessando github.com. Com base na regra de Sigma Comunicação do Github Binário da Microsoft por Michael Haag (ideia), Florian Roth (regra). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Terminal de comunicação suspeita binária da Microsoft | Detecta um executável na pasta do Windows acessando domínios suspeitos. Com base na regra de Sigma Terminal de Comunicação Suspeito Binário da Microsoft por Florian Roth (Sistemas Nextron) e Nasreddine Bencherchali (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Transferência lateral de DLL do Microsoft Office | Detecta o carregamento lateral de DLL de DLLs que fazem parte do Microsoft Office de um local não padrão. Com base no Microsoft Office DLL Sideload Sigma regra por Nasreddine Bencherchali (Nextron Systems) e Wietze Beukema (projeto e pesquisa). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação de Modelo Microsoft Office | Detecta a criação de arquivos de modelo para o Microsoft Office de fora do Office. |
| Regra | Execução Mimikatz | Detecta argumentos conhecidos da linha de comandos Mimikatz. Com base no HackTool -Mimikatz Execution por Teymur Kheirkhabarov, oscd.community, David ANDRE (palavras-chave adicionais) e Tim Shelton. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Várias falhas de login devido a senha inválida | Detecta o adversário executando a pulverização de senha. |
| Regra | Atividade de descoberta de compartilhamento de rede | Detecta a atividade de descoberta de compartilhamento de rede |
| Regra | Atividade de sniffing de rede | Detecta atividades de farejamento de rede Com base na regra de Sigma Network Sniffing por Timur Zinniatullin e oscd.community Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Novo certificado incluído no armazenamento de certificados | Detecta a inclusão de novos certificados raiz, CA ou AuthRoot no registro do Windows. Com base na regra de Sigma Nova Raiz ou CA ou AuthRoot para Armazenar por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Nova regra de encaminhamento de porta incluída por meio do Netsh | Detecta a execução de comandos netsh que configuram uma nova regra de encaminhamento de portas (PortProxy) Com base na regra de assinatura Nova regra de encaminhamento de porta incluída por meio do Netsh.EXX por Florian Roth (Nextron Systems), omkar72, oscd.communitye Swachchhanda Shrawan Poudel. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Nova criação de serviço. | Detecta a criação de um novo serviço.. |
| Regra | Uso de porta não padrão | Detecta o uso de porta não padrão Com base na regra de Sigma Portas de conexão de retorno de malware típicas suspeitas por Florian Roth (Sistemas Nextron).... Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Outlook C2 Criação de Macro | Detecta a criação de um arquivo de macro para o Outlook. Com base no Panorama C2 Criação de macros Regra Sigma por @ScoubiMtl. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Configurações de segurança do Outlook alteradas no registro | Detecta a mudança nas configurações de segurança de e-mail do Outlook Com base na regra Alterar Configuração de Segurança do Outlook no Registro Sigma frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Passe a Atividade de Hash | Detecta a técnica de ataque passar o hash que é usado para mover lateralmente dentro da rede. |
| Regra | Chave de Registro de Persistência para Lixeira | Detecta a chave de registro de persistência para a lixeira Com base no Mecanismos de Persistência de Registro na Lixeira Regra de Sigma por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Persistência e execução em escala por meio da tarefa planejada do GPO | Detecta o movimento lateral usando a tarefa planejada do GPO Com base na regra de Sigma Persistência e Execução em Escala via Tarefa Planejada do GPO por Samir Bousseaden. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Persistência por meio da chave de registro de serviços | Detecta um adversário tentando persistir por meio da criação ou modificação de um serviço existente. Com base na regra de Sigma ServiceDll Hijack por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Persistência por meio da pasta de inicialização | Detecta quando um arquivo com uma extensão suspeita é criado na pasta de inicialização.. Com base na regra de Sigma Persistência de pasta de inicialização suspeita por Nasreddine Bencherchali. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Padrões de phishing no arquivo ISO | Detecta quando um arquivo ISO é aberto com aplicativos archive. Com base na regra de Sigma Padrão de Phishing ISO no Archive por Florian Roth Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Possível Tentativa de Força Bruta | Detecta o adversário executando força bruta. |
| Regra | Possível Turla LightNeuron Instalação Backdoor | É acionado quando um Turla LightNeuron Backdoor é instalado LightNeuron tem como destino servidores de e-mail do Microsoft Exchange que usam o Agente de Transporte. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Archive Potencial de Dados Coletados | Aciona quando dados são arquivados ou compactados para exfiltração. Um adversário pode compactar dados, como documentos sensíveis, que são coletados antes da exfiltração, a fim de torná-los móveis e minimizar a quantidade de dados enviados pela rede. |
| Regra | Potenciais Scripts de Inicialização de Inicialização de Logon ou de Inicialização de Inicialização | Detecta acionadores quando uma modificação é feita nos scripts de logon do Windows para inicializar scripts de inicialização ou logon. |
| Regra | Potencial C2 Comunicação sobre um Protocolo de Camada Não Aplicativo | Detecta adversários usando um protocolo de camada não aplicativo para comunicação entre o host e o servidor C2 ou entre hosts infectados em uma rede. |
| Regra | Atividade de Carbono Potencial | Detecta a atividade de carbono que se comunica com o servidor C & C para exfiltrar dados. |
| Regra | Potencial ComRAT Atividade | Detecta a atividade ComRAT que é um carregador de powershell para criar tarefas planejados |
| Regra | Potenciais Intérpretes de Comando e Script | Aciona quando um comando e interpretadores de script são detectadas |
| Regra | Potencial Configuração e Reconhecimento de Serviço | Detecta tentativas de reconhecimento do registro. Adversários podem interagir com o registro do Windows para reunir informações sobre credenciais, o sistema, a configuração e o software instalado. Com base na regra de Sigma do Registro de Consulta por Timur Zinniatullin, oscd.community Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Atividade de muleta potencial | Detecta atividade Crutch que criptografa e extrai dados. |
| Regra | Padrão de injeção de DLL potencial detectado | Detecta uso potencial de CreateRemoteThread API e LoadLibrary função para injetar uma DLL em um processo. Com base no CreateRemoteThread API e LoadLibrary por Roberto Rodríguez @Cyb3rWard0g. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Interceptação de ordem de procura de DLL em potencial | Aciona quando tenta criar um arquivo DLL para uma pasta de dependências do aplicativo de área de trabalho conhecida como Slack, Teams ou OneDrive e por um processo incomum. Isso pode indicar uma tentativa de carregar um módulo malicioso via interceptação de ordem de procura DLL. Com base na regra de Sigma Acesso inicial potencial por meio de interceptação de ordem de procura de DLL por Tim Rauch (regra) e Elastic (ideia). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Exfiltração de dados potenciais por meio de curl | Detecta a execução do processo curl com sinalizações upload . O que pode indicar possível exfiltração de dados. Com base na regra de Sigma Upload de arquivo curl suspeito por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Potencial Atividade do Empire | Detecta a atividade Empire que sequestra o Microsoft Outlook para exfiltrar dados por e-mail. |
| Regra | Atividade Epic Potencial | Detecta a atividade do Turla Epic que procura vários termos dentro do sistema da vítima |
| Regra | Potencial Atividade de Exploração do Exchange Detectada | Detecta potencial atividade de exploração do Exchange. Com base na regra de Assinatura Atividade de Exploração do Exchange por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Descoberta de arquivo e diretório em potencial | Aciona quando um arquivo ou diretório é procurado para a descoberta de informações Um adversário pode enumerar arquivos e diretórios ou pode procurar em locais específicos de um host ou compartilhamento de rede determinadas informações dentro de um sistema de arquivos. |
| Regra | Fluxo Potencial de Interceptação de Execução | É acionado quando uma DLL é carregada ou excluída de uma pasta ou arquivo suspeito. |
| Regra | Atividade Potencial do Gazer | Detecta a atividade do Turla Gazer que é um backdoor que usa várias técnicas para persistência. |
| Regra | Arquivo ou Diretório Oculto Potencial | Aciona quando um arquivo ou atributos de diretório são alterados ou modificados para ocultar artefatos de usuários |
| Regra | Potencial Atividade do HyperStack | Detecta a atividade HyperStack do Turla, que é uma porta dos fundos |
| Regra | Atividade de remoção do indicador potencial no host | Aciona quando um adversário exclui ou modifica artefatos gerados em um sistema host para remover evidências de sua presença ou impedir defesas. |
| Regra | Transferência de ferramenta de ingresso em potencial | Detecta uma chamada suspeita para Invoke-WebRequest, curl ou wget onde a saída and está localizada em um local suspeito. Com base no Suspeito Invoke-WebRequest Uso Regra Sigma de Nasreddine Bencherchali. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Potencial Atividade do Kazuar | Detecta a atividade Kazuar que é uma criação de atalho e uma sub-chave incluída no caminho de registro HKCU. |
| Regra | Atividade LOLBIN Potencial | Aciona quando LOLBIN é usado para executar código para um binário especificado. |
| Regra | Potencial Movimento Lateral via PowerShell | Detecta um processo PowerShell gerado como um processo filho ou filho de processos comumente abusados durante o movimento lateral. Com base na regra de Sigma de Movimentação Lateral Possível PowerShell Spawn por Mauricio Velazco e Splunk. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Exportação de caixa de correio MSExchange em potencial | É acionado quando os dados de uma caixa de correio de troca são exportados para um arquivo |
| Regra | Instalação do Agente de Transporte MSExchange Malicioso em Potencial | Detecta a instalação de um Agente de Transporte do Exchange |
| Regra | Potencial Atividade de Mosquito | Detecta atividade do Mosquito, que é um backdoor Win32 . |
| Regra | Potencial PowerShell ReverseShell Conexão | Detecta o uso do 'TcpClient' aula. Que pode ser abusado para estabelecer conexões remotas e reversos. Com base no Potencial Powershell ReverseShell Conexão Regra Sigma por FPT.EagleEye, wagga e Nasreddine Bencherchali (Nextron Systems). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Configuração de Encaminhamento de Proxy Potencial | É acionado quando uma porta de proxy é configurada para ser usada no encaminhamento Adversários podem configurar portas de proxy para ignorar restrições de rede por meio de tunelamento. |
| Regra | Descarregamento de Variável de Registro ou Ambiente em Potencial | Aciona quando mudanças são feitas nas variáveis de ambiente ou no registro Isso poderia indicar um precursor para um ataque ransomware. |
| Regra | Tarefa planejada potencial criada | Detecta as tarefas planejadas criadas |
| Regra | Descoberta de software de segurança em potencial | É acionado quando um software de segurança é descoberto Os adversários podem tentar obter uma lista de software de segurança, configurações, ferramentas defensivas e sensores que estão instalados em um sistema ou em um ambiente de nuvem. Isso pode incluir coisas como regras de firewall e anti-vírus. |
| Regra | Acesso à memória de Svchost em potencial | Detecta o acesso potencial à memória do processo de svchost, como aquele usado pelo Invoke-Phantom para eliminar o serviço de criação de log de eventos do Windows winRM Com base na regra de Sigma Suspeito Svchost Memory Ascess de Tim Burrell. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Potencial de carregamento lateral de DLL do sistema a partir de locais não do sistema | Detecta o carregamento lateral de DLL de DLLs geralmente localizadas em locais do sistema, como System32, ou SysWOW64 Com base no Sideload de DLL do sistema de locais que não são do sistema Regra Sigma de Nasreddine Bencherchali, Wietze Beukema (projeto e pesquisa), Chris Spehn (pesquisa WFH Dridex) e XForceIR ( SideLoadHunter Projeto). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Potencial Atividade do TinyTurla | Detecta atividade TinyTurla que usa uma DLL falsa chamada w64time.dll. A versão legit do Windows é w32time.dll, o que torna o malware menos perceptível. |
| Regra | Atividade de Reconhecimento Turla Potencial | Detecta uma atividade Turla comum que executa vários comandos de reconhecimento para descobrir sobre a máquina vítima e também para se mover lateralmente. |
| Regra | Potencial Comando Shell Unix e Interpretador de Script | Detecta acionadores quando comandos shell ou código de programa suspeitos que podem ser executados para interpretadores de comando e de script |
| Regra | Potencial Shell da Web Descartado | Detecta possíveis shells da web descartados Com base na regra de assinatura Suspeito do arquivo ASPX descartado pelo Exchange por Florian Roth (regra), MSTI (consulta, ideia). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Potencial WinAPI Chamadas por meio de scripts do PowerShell | Detecta o uso de funções WinAPI em scripts PowerShell . Com base na regra de assinatura Potencial WinAPI Chamadas por meio de scripts do PowerShell por Nikita Nazarov, oscd.communitye Tim Shelton. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Interpretador de shell de comando do Windows em potencial | Aciona quando o uso da passagem de caminho em cmd.exe indica possível confusão de comando / argumento / hijacking Com base no Cmd.exe CommandLine Path Traversal Regra de Sigma por xknow @xknow_infosece Tim Shelton Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação de Tarefa Planejada do Windows Potencial | Aciona quando os adversários tentam criar uma tarefa planejada |
| Regra | Descoberta de software do Windows em potencial | Aciona quando um software Windows é descoberto. Os adversários podem tentar enumerar o software por uma variedade de razões, como descobrir quais medidas de segurança estão presentes ou se o sistema comprometido tem uma versão do software com uma vulnerabilidade. |
| Regra | PowerShell DownloadFile | Detecta a execução de powershell, a criação de um objeto WebClient e a chamada de DownloadFile em uma única linha de comandos Com base na regra Sigma PowerShell DownloadFile por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | PowerShell Modificação de Perfil | Aciona quando um perfil powershell é criado ou modificado que pode indicar atividade suspeita, pois o perfil pode ser usado como uma média de persistência. Com base na regra de Sigma de PowerShell por HieuTT35e Nasreddine Bencherchali Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Atividade de Keylogging do Powershell | Detecta a atividade de keylogging do Powershell. Com base na regra de assinatura Powershell Keylogging por frack113. |
| Regra | Coleção de e-mail local do Powershell | Detecta adversários que visam o e-mail do usuário em sistemas locais para coletar informações confidenciais. Com base na Coleção de e-mail local do Powershell por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação de encadeamento remoto do Powershell | Detecta o Powershell injetando código em processos críticos do Windows |
| Regra | Injeção de Processo via Maldoc | Detecta injeção de processo usando maldoc. Com base na regra de Sigma LittleCorporal Generated Maldoc Injection por Christian Burkard. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Contrato de Psexec Accepteula Detectado | Detecta a atividade de psexec accepteula. Com base na regra de Sigma Psexec Accepteula Condition por omkar72 Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Python Carga de Imagem Principal Detectada | Detecta o carregamento da imagem do Núcleo Python Com base na regra Python Py2Exe Image Load Sigma de Patrick St. John e OTR (Open Threat Research). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Python Py2Exe Carregamento de imagem | Detecta o carregamento de imagem do Python indicativo de um script Python empacotado com Py2Exe. Com base na regra Python Py2Exe Image Load Sigma de Patrick St. John e OTR (Open Threat Research). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Comunicação RDP sobre Endereço de Loopback | Detecta a comunicação RDP no endereço de loopback. Com base na regra de Sigma RDP over Reverse SSH Tunnel WFP de Samir Bousseaden. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Atividade de reconhecimento usando comandos BuiltIn | Detecta a execução de um conjunto de comandos builtin frequentemente usados em estágios de reconhecimento por diferentes grupos de ataque Com base na regra de Sigma Execução rápida de uma série de comandos suspeitos por juju4. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Regedit Iniciado com TrustedInstaller Privilégios | Detecta regedit iniciado com privilégios TrustedInstaller ou com ProcessHacker.exe. Com base na regra do Sigma Regedit como Trusted Installer por Florian Roth Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Modificação de registro das chaves de execução | Detecta a modificação de registro de chaves de execução Com base no Instalação de driver suspeito por pnputil.exe Regra Sigma por Hai Vaknin @LuxNoBulIshit, Avihay Eldad @aloneliassaf e Austin Songer @austinsonger. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Regsvr32 Conexão de Rede de Saída | Detecta as conexões de saída iniciadas pelo regsvr32.exe |
| Regra | Sessão PowerShell Remota | Detecta conexões remotas do PowerShell monitorando conexões de saída de rede para as portas 5985 ou 5986 de uma conta de serviço não de rede. Com base na regra de assinatura Sessão PowerShell Remota (Rede) por Roberto Rodriguez (@Cyb3rWard0g). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação de tarefa planejada remota | Detecta as criações de tarefas planejadas remotas |
| Regra | Atividade de serviço remoto por meio do canal nomeado SVCCTL | Detecta atividade de serviço remoto por meio de acesso remoto ao canal nomeado svcctl. Com base na regra de Sigma Criação de serviço remoto por meio de canais nomeados por mdecrevoisier. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação de encadeamento remoto em destinos suspeitos | Detecta a criação de um encadeamento remoto em imagens de destino suspeitas Com base na Criação de encadeamento remoto em destinos suspeitos por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Certificado raiz instalado | Detecta adversários instalando um certificado raiz em um sistema comprometido para evitar avisos ao se conectar a servidores da web controlados pelo adversário. |
| Regra | RunDLL32 Conexão de Rede de Saída | Detecta as conexões de saída iniciadas pelo rundll32.exe |
| Regra | Rundll32 com linhagem de processo suspeito | Detecta execuções de rundll32.exe de processos pai incomuns. |
| Regra | Execução de binário interceptado detectada | Detecta a execução de binário interceptado Com base no Usando SettingSyncHost.exe como LOLBin Regra Sigma de Anton Kutepov, e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Atividade da Linha de Comandos do Ryuk Ransomware Detectada.. | Detecta a atividade da linha de comandos do Ryuk ransomware Com base na regra do Sigma Ryuk Ransomware Command Line Activity por Vasiliy Burov. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | SMB Criar Compartilhamento de Administrador de Arquivo Remoto | Detecta contas não do sistema SMB acessando um arquivo com máscara de acesso de gravação (0x2) por meio de compartilhamento administrativo, como C$. Com base na regra SMB Create Remote File Admin Share Sigma por Jose Rodriguez (@Cyb3rPandaH) e OTR (Open Threat Research).Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Configuração de firewall SSH | Detecta a configuração de firewall do SSH Com base na configuração do firewall do servidor OpenSSH no Windows (comando) Sigma regra por mdecrevoisier. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Conexão iniciada pelo script | Detecta um interpretador de script wscript / cscript que abre uma conexão de rede Os adversários podem usar script para fazer download de cargas úteis maliciosas. Com base na regra de assinatura Conexão Iniciada por Script por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Interceptação de Dll de Serviço | Detecta mudanças no valor ServiceDLL relacionadas a um serviço no registro. Isso é frequentemente usado como um método de persistência. Com base na regra de Sigma ServiceDll Hijack por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Verificação de fraqueza de permissões de registro de serviço | Detecta adversários verificando falhas em permissões dentro do registro para redirecionar do executável originalmente especificado para um que eles controlam, a fim de ativar seu próprio código no início do Serviço. Com base na regra de Assinatura Verificação de Fraqueza de Permissões de Registro de Serviço por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | SetupComplete.cmd Exploração | Detecta uma tentativa de exploração de vulnerabilidade de escalação de privilégios por meio de SetupComplete.cmd e PartnerSetupComplete.cmd |
| Regra | Criação de cópias de sombra usando utilitários de sistemas operacionais | Detecta possíveis cenários de acesso de credencial em que cópias shadow são criados usando utilitários de sistemas operacionais. Com base na regra de Sigma Criação de cópias de sombra usando utilitários de sistemas operacionais por Teymur Kheirkhabarov, Daniil iugoslavskiy e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Shells gerados por servidores da web | Detecta servidores da web que geram processos de shell que poderiam ser o resultado de um shell da web colocado com sucesso ou de outro ataque. Com base na regra de assinatura Shells Spawn by Web Servers por Thomas Patzke, Florian Roth (Sistemas Nextron), Zach Stanford @svch0st, Tim Shelton e Nasreddine Bencherchali (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Atividade Snatch Ransomware Detectada | Detecta atividade de ransomware Snatch. Com base na regra de Sigma do Snatch Ransomware por Florian Roth Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Nome do driver Mimikatz estático detectado | Detecta nomes de driver mimikatz explorados conhecidos Com base na regra de assinatura PrinterNightmare Mimikatz Driver Name por Markus Neis, @markus_neise Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Arquivos de Incorporação de Steganography | Detecta a integração de arquivos de esteganografia Baseado na regra de Sigma Steganography Unzip Hidden Information From Picture File de Pawel Mazur. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Arquivos de Extração de Steganography | Detecta a extração de arquivos de esteganografia Com base na regra Sigma Steganography Extract Files with Steghide de Pawel Mazur. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Steganografia com RAR | Detecta uma tentativa de escalada de privilégio por meio de uma variável de ambiente de diretório do Windows suspeita. Com base na regra de Sigma Suspeita Greedy Compression Usando Rar.EXE por X__Junior (Sistemas Nextron) e Florian Roth (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Comportamento Suspeito por Agente SOURGUM | Detecta o comportamento suspeito pelo agente SOURGUM |
| Regra | Execução de DLL binária suspeita | É acionado quando uma DLL é executada a partir de um diretório especificado |
| Regra | Carregamento e execução binários suspeitos | Aciona quando uma DLL arbitrária é carregada ou executada de um binário especificado. |
| Regra | Criação de logs de CLR suspeitos | Detecta execuções suspeitas do conjunto .NET Com base na regra de assinatura Criação de logs de CLR suspeitos por omkar72, oscd.communitye Wojciech Lesicki. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Mudança suspeita do agente do usuário | Detecta uma mudança suspeita do agente do usuário Os adversários podem se comunicar usando protocolos de camada de aplicativo associados ao tráfego da web para evitar a detecção / filtragem de rede combinando com o tráfego existente. |
| Regra | Comando de cópia suspeita do compartilhamento do administrador | Detecta comando de cópia suspeito do compartilhamento administrativo. Com base no Copiar do compartilhamento administrativo Regra Sigma de Florian Roth (Nextron Systems), oscd.community, Teymur Kheirkhabarov @HeirhabarovT, Zach Stanford @svch0st e Nasreddine Bencherchali. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Criação suspeita de arquivo Get-Variable | Detecta a criação suspeita do arquivo get-variable.exe Com base na regra de Sigma Suspeito Get-Variable.exe Creation por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Tarefa Planejada / Tarefa Cron Suspeito | Detecta o abuso do utilitário cron para executar o planejamento de tarefas para execução inicial ou recorrente de código malicioso |
| Regra | Download de curl suspeito | Detecta um início de processo do curl suspeito no Windows e envia o documento solicitado para um arquivo local Com base na regra Sigma Suspeita Curl.EXE Download por Florian Roth (Sistemas Nextron) e Nasreddine Bencherchali (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Processo de extensão de arquivo duplo suspeito | Detecta processos com extensões de arquivo duplas Com base na regra de Sigma Execução de Arquivo de Extensão Dupla Suspeita por Florian Roth (Sistemas Nextron), @blu3_team (ideia) e Nasreddine Bencherchali (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Shell do sistema elevado suspeito | Aciona quando um programa shell como o prompt de comandos do Windows ou o PowerShell é ativado com privilégios do sistema. Com base na regra de assinatura Shell do sistema elevado suspeito por frack113e Tim Shelton. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Suspeito EventLog Limpo | Detecta a limpeza de logs de eventos usando wevtutil, powershell e wmic |
| Regra | Execução suspeita de conversão de arquivo GRP | Detecta a execução suspeita da conversão de arquivo .grp Com base na regra de assinatura Suspeita GrpConv Execução por Florian Roth (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Execução Suspeita do Outlook a partir do Diretório Temporário | Detecta o Outlook executado a partir de um diretório temporário Com base na regra de assinatura Execução na pasta temporária do Outlook por Florian Roth (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Execução suspeita com Colorcpl | Detecta a execução suspeita de colorcpl.exe Com base na regra Criação suspeita com Colorcpl Sigma por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Arquivo suspeito criado pelo aplicativo do Office | Detecta a criação de arquivo executável e de script por aplicativos do Microsoft Office Com base na regra de Sigma Arquivos Criados por Aplicativos do Office por Vadim Khrykov (ThreatIntel) e Cyb3rEng (Regra). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Download de arquivo suspeito usando o aplicativo do Office | Detecta o uso do Microsoft Word, Microsoft Excel ou Microsoft PowerPoint sendo usado para fazer download de arquivos arbitrários. Com base na regra de Sigma Download de arquivo suspeito usando o aplicativo do Office por Beyu Denis e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Get Suspeito-Criação de Variável | Detecta a persistência do PowerShell por meio da interceptação Get-Variable.exe. Com base na regra de Sigma Suspeito Get-Variable.exe Creation por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Suspeito GetTypeFromCLSID ShellExecute | Detecta código Powershell suspeito que executa Objetos COM. Com base no Suspeito GetTypeFromCLSID ShellExecute Regra Sigma por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Grupo Suspeito E Atividade de Reconhecimento de Conta | Detecta atividade suspeita da linha de comandos de reconhecimento em sistemas Windows |
| Regra | Atividade de exclusão de arquivo de host suspeito | Acionadores quando arquivos host são excluídos de um sistema. |
| Regra | Execução suspeita do módulo na memória | Detecta eventos de acesso ao processo por processos suspeitos que possuem bibliotecas carregadas refletivamente em seu espaço de memória. Com base na regra de Sigma Execução do Módulo na Memória Suspeita por Perez Diego (@darkquassar), oscd.communitye Jonhnathan Ribeiro. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Suspeito Linux Log limpo | Acionadores quando tentativas de limpar logs no sistema Adversários podem limpar logs do sistema para ocultar evidências de uma intrusão. Com base na regra de assinatura Limpar Linux Logs por Ömer Günal e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Log do sistema Mac suspeito limpo | É acionado quando um log de auditoria local é excluído Com base na regra do Indicator Removal on Host-Clear Mac System Logs Sigma por remotephone e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Processo Filho suspeito do Microsoft OneNote | Detecta o processo-filho suspeito do Microsoft Onenote gerado. Com base na regra de Sigma Processo filho suspeito do Microsoft OneNote por Tim Rauch (Sistemas Nextron), Nasreddine Bencherchali (Sistemas Nextron) e Elastic (ideia). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Exfiltração de Padrões de Processo NTDS Suspeitos | Detecta processos suspeitos que gravam (copiam) um arquivo de banco de dados Active Directory (ntds.dit). Com base no NTDS do NTDS.DIT Criação por processo incomum Regra de assinatura por Florian Roth (Sistemas Nextron) e Nasreddine Bencherchali (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Gravações de processo NTDS suspeitas | Detecta padrões de processo suspeitos usados no NTDS do NTDS.DIT . Com base no NTDS Padrões de Processo Suspeitos NTDS.DIT Exfil Sigma por Florian Roth (Nextron Systems). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Nova instância suspeita de um objeto COM do Office | Detecta um aplicativo Microsoft Office criando uma instância de um dos objetos COM do Office, como Word.Applicationou Excel.Application. Isso pode ser usado por agentes maliciosos para criar documentos maliciosos do Office com macros em tempo real.. Baseado na Nova instância suspeita de um objeto COM do Office por Nasreddine Bencherchali (Nextron Systems). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Conexões SMTP de saída suspeitas | Detecta potencial de exfiltração sobre o protocolo SMTP Com base na regra de Sigma de Conexões SMTP de Saída Suspeitos por frack113 Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Palavras-chave Suspeitas do PowerShell | Detecta palavras-chave que poderiam indicar o uso de alguma estrutura de exploração do PowerShell Com base na regra de Sigma Potencial suspeito PowerShell Palavras-chave por Florian Roth (Sistemas Nextron), Perez Diego (@darkquassar) e Tuan Le (NCSGroup). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Descoberta de processo suspeito com processo de obtenção | Detecta adversários executando a descoberta para obter os processos que estão em execução no computador local. Com base na regra de assinatura Descoberta de processo suspeito com get-Processo por frack113. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Processo Suspeito da Ajuda do Microsoft HTML | Detecta processo suspeito gerado a partir da Ajuda de HTML da Microsoft Baseado na Ajuda HTML HH.EXE Processo Filho Suspeito EXE por Maxim Pavlunin e Nasreddine Bencherchali (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Local Suspeito do Programa com Conexões de Rede | Detecta programas com conexões de rede em execução em locais do sistema de arquivos suspeitos Com base no Local do programa suspeito com conexões de rede de Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Execução Binária de Proxy Suspeito | Aciona quando um binário do sistema é executado de um proxy. |
| Regra | Atividade Suspeita do PsExec | Detecta atividade suspeita de PsExec Com base na regra de assinatura Impacket PsExec Execution por Bhabesh Raj. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Canal Nomeado Remoto Suspeito | Detecta movimentos laterais e cenários de execução remota usando canais nomeados recém-observados acessados remotamente Com base na regra de Sigma Canal nomeado remoto visto pela primeira vez por Samir Bousseaden. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Tarefa Planejada Suspeita | Detecta eventos de criação ou atualização de tarefa planejada suspeitos com base em atributos como caminhos ou sinalizadores de linha de comando. Com base na Criação de tarefa planejada suspeita por Nasreddine Bencherchali. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Script Suspeito em um Consumidor WMI | Detecta comandos suspeitos relacionados ao script / powershell no WMI Event Consumers. Com base na regra de Sigma Scripts Suspeitos em um Consumidor WMI por Florian Roth (Sistemas Nextron) e Jonhnathan Ribeiro. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Subprocesso Suspeito do RazerInstaller | Detecta subprocesso suspeito do RazerInstaller.exe. Com base na regra de Sigma Suspeito RazerInstaller Subprocesso do Explorer por Florian Roth e Maxime Thiebaut Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Anomalia de execução de Svchost suspeito | Detecta o svchost.exe executado sem qualquer argumento da CLI que é normalmente observado quando um processo malicioso gera o processo e injeta código no espaço de memória do processo Com base na regra de Sigma Atividade Svchost Suspeita por David Burkett e @signalblur. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Túnel TCP Suspeito por meio do Script PowerShell | Detecta scripts do PowerShell que criam soquetes / listeners que poderiam ser indicativos de atividade de tunelamento Com base na regra de Sigma Túnel TCP suspeito via PowerShell Script por Nasreddine Bencherchali (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Logon de contas válidas suspeitas | Aciona quando um login suspeito de uma conta válida é detectado. |
| Regra | Execução suspeita do WMIC | Detecta o WMIC executando comandos suspeitos ou de reconhecimento Com base na regra de Sigma Execução suspeita de WMIC por Michael Haag, Florian Roth, juju4e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Suspeito WebDav execução do cliente | Detecta tentativas de exfiltração ou uso de WebDav para ativar código hospedado em um servidor WebDav . Com base na regra de assinatura WebDav Execução do cliente por Roberto Rodriguez (Cyb3rWard0g) e OTR (Open Threat Research). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Symlink para passwd Criado | Detecta symlink criado no diretório /etc/passwd . Com base na regra Sigma Symlink Etc Passwd por Florian Roth. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Proprietário do sistema ou Descoberta do usuário (Linux) | Detecta atividades de descoberta do proprietário do sistema ou do usuário Com base na regra de Sigma System Owner ou User Discovery por Timur Zinniatullin e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Proprietário do sistema ou Descoberta do usuário (Windows) | Detecta atividades de descoberta do proprietário do sistema ou do usuário Com base na regra de assinatura Descoberta de contas locais por Timur Zinniatullin, Daniil Jugoslavskiy e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Atividade de descoberta de tempo do sistema | Detecta a atividade de descoberta de tempo do sistema |
| Regra | Representação de token por meio do PowerShell | Detecta adversários que alavancam funções da API do Windows relacionadas à personificação ou roubo de token. |
| Regra | Transferindo arquivos com dados de credenciais por meio de compartilhamentos de rede | Detecta tentativas de transferir arquivos com nomes de arquivos conhecidos, como arquivos sensíveis com dados de credenciais, usando compartilhamentos de rede. Com base na regra de Sigma Transferindo arquivos com dados de credenciais por meio de compartilhamentos de rede por Teymur Kheirkhabarov e oscd.community. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Serviço Turla Instalado | É acionado quando um serviço malicioso conhecido por um APT malicioso é instalado |
| Regra | Restrições Remotas UAC Desativadas | Detecta modificação de registro permitindo ações administrativas remotas. Com base na regra de Sigma Desativar restrição remota do UAC por Steven Dick, Teoderick Contreras e Splunk. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Processo incomum gerado a partir do HWP | Detecta processos incomuns que geram a partir do Hangul Word Processor (Hanword). Com base na regra de assinatura Subprocessos suspeitos do HWP por Florian Roth (Sistemas Nextron). Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Processo-filho incomum de processos diferentes | Detecta processo-filho incomum de diferentes processos. Com base no Privilégio de Depuração Abusada por Processos Pai Arbitrários Regra de Sigma por Semanur Guneysu @semanurtge oscd.community Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Autenticação do usuário por meio de várias credenciais explícitas | Detecta um usuário tentando autenticar com vários usuários de destino usando credenciais explícitas. |
| Regra | Criação de usuário abusando da vulnerabilidade do Fortinet | Detecta a criação de usuário abusando da vulnerabilidade do Fortinet. Com base na regra de Sigma Fortinet APT group abuse on Windows (user) por mdecrevoisier. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | VBA DLL Carregado por meio do Aplicativo do Office | Detecta DLLs do VB carregadas por um aplicativo do Microsoft Office, o que poderia indicar a presença de Macros do VBA Com base na regra Sigma VBA DLL Loaded Via Office Application por Antonlovesdnb. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | VirtualBox Driver instalado ou iniciado | Detecta instalação do driver VirtualBox ou um início de máquinas virtuais. Com base na regra de Sigma Detect Virtualbox Driver Installation OR Iniciando de VMs de Janantha Marasinghe Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Driver vulnerável carregado | É acionado quando um driver vulnerável é carregado Com base na regra do Sigma Windows Vulnerável Driver Loaded por Michael Haag e Splunk.. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Persistência do Consumidor do Evento WMI | Detecta consumidores de eventos da linha de comando WMI. Com base na regra de Sigma WMI Persistence-Command Line Event Consumer por Thomas Patzke. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Arquivo de Descarte WScript ou CScript | Detecta um arquivo terminando em jse, vbe, js, vbaou vbs sendo gravado por cscript.exe ou wscript.exe. Com base na regra do WScript ou CScript Dropper-File Sigma por Tim Shelton Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Registro de Eventos do Windows Desativado por meio do Registro | Detecta violação com a chave de registro 'Ativada' para desativar a criação de log de janelas de um canal de eventos do Windows. Com base na regra de assinatura Desativar criação de log de eventos do Windows por meio do Registro por frack113e Nasreddine Bencherchali. Usado sob a Licença de Regra de Detecção 1.1. |
| Regra | Modificação do Registro de Confiança do Windows Registry | Detecta a modificação do registro de confiança do registro do Windows Com base na regra de Sigma Modificação do Registro de Confiança do Windows por Antonlovesdnb. Usado sob a Licença de Regra de Detecção 1.1. |